Złośliwe oprogramowanie mobilne MMRat

Pojawiające się szkodliwe oprogramowanie bankowe dla systemu Android o nazwie MMRat wykorzystuje rzadką technikę komunikacji znaną jako serializacja danych protobuf. Takie podejście zwiększa skuteczność szkodliwego oprogramowania w wydobywaniu informacji z zaatakowanych urządzeń.

Odkryty przez ekspertów ds. cyberbezpieczeństwa w czerwcu 2023 r. MMRat koncentruje się przede wszystkim na atakowaniu użytkowników znajdujących się w Azji Południowo-Wschodniej. Chociaż dokładna metoda początkowego rozpowszechniania szkodliwego oprogramowania wśród potencjalnych ofiar pozostaje nieznana, badacze ustalili, że MMRat rozprzestrzenia się za pośrednictwem stron internetowych udających legalne sklepy z aplikacjami.

Oszukańcze aplikacje zawierające szkodliwe oprogramowanie MMRat są pobierane i instalowane przez niczego niepodejrzewające ofiary. Często aplikacje te podszywają się pod aplikacje rządowe lub platformy randkowe. Następnie podczas instalacji aplikacje proszą o uzyskanie niezbędnych uprawnień, w tym dostępu do usługi dostępności systemu Android.

Korzystając z funkcji dostępności, szkodliwe oprogramowanie automatycznie zabezpiecza sobie dodatkowe uprawnienia. Dzięki temu MMRat może wykonywać szeroką gamę szkodliwych działań na zaatakowanym urządzeniu.

MMRat umożliwia cyberprzestępcom przejęcie kontroli nad wieloma funkcjami urządzeń

Gdy MMRat uzyska dostęp do urządzenia z systemem Android, nawiązuje komunikację z serwerem C2 i monitoruje aktywność urządzenia w okresach bezczynności. W tych odstępach czasu napastnicy wykorzystują usługę ułatwień dostępu do zdalnego wybudzania urządzenia, odblokowywania go i przeprowadzania oszustw bankowych w czasie rzeczywistym.

Kluczowe funkcje MMRat obejmują zbieranie danych o sieci, ekranie i baterii, eksfiltrację kontaktów użytkowników i list aplikacji, przechwytywanie danych wejściowych użytkownika poprzez rejestrację naciśnięć klawiszy, przechwytywanie zawartości ekranu w czasie rzeczywistym za pośrednictwem API MediaProjection, nagrywanie i przesyłanie strumieniowe na żywo danych z kamer, zrzucanie danych ekranowych w tekście formularz na serwer C2 i ostatecznie odinstalowuje się, aby usunąć ślady infekcji.

Wydajna transmisja danych MMRata ma kluczowe znaczenie dla jego możliwości przechwytywania zawartości ekranu w czasie rzeczywistym i wydobywania danych tekstowych ze „stanu terminala użytkownika”. Aby umożliwić skuteczne oszustwa bankowe, autorzy szkodliwego oprogramowania opracowali niestandardowy protokół Protobuf do eksfiltracji danych.

MMRat wykorzystuje niezwykłą technikę komunikacji, aby dotrzeć do serwera atakującego

MMRat wykorzystuje odrębny protokół serwera dowodzenia i kontroli (C2), wykorzystując tak zwane bufory protokołu (Protobuf), aby ułatwić usprawniony transfer danych — co jest rzadkością w świecie trojanów dla Androida. Protobuf, technika serializacji danych opracowana przez Google, działa podobnie do XML i JSON, ale zajmuje mniej miejsca i jest szybsza.

MMRat wykorzystuje różnorodne porty i protokoły do interakcji z C2. Obejmują one protokół HTTP na porcie 8080 do eksfiltracji danych, RTSP i port 8554 do przesyłania strumieniowego wideo oraz spersonalizowaną implementację protokołu Protobuf na porcie 8887 do dowodzenia i kontroli.

Wyjątkowość protokołu C&C polega na tym, że jest on dostosowany do korzystania z Netty, frameworku aplikacji sieciowych i wspomnianego wcześniej Protobufa. Dotyczy to również dobrze skonstruowanych komunikatów. W ramach komunikacji C&C podmiot zagrażający przyjmuje kompleksową strukturę obejmującą wszystkie typy wiadomości oraz słowo kluczowe „oneof” oznaczające różne kategorie danych.

Oprócz wydajności Protobuf wykorzystanie niestandardowych protokołów ułatwia unikanie narzędzi bezpieczeństwa sieci, które zazwyczaj identyfikują rozpoznawalne wzorce już znanych zagrożeń. Dzięki wszechstronności Protobufa twórcy MMRata mają swobodę definiowania struktur komunikatów i regulowania metod transmisji danych. Tymczasem jego systematyczny projekt gwarantuje, że wysyłane dane są zgodne z wcześniej zdefiniowanymi projektami, zmniejszając prawdopodobieństwo uszkodzenia po otrzymaniu.

Zagrożenie mobilne MMRat ukazuje ewoluującą złożoność trojanów bankowych dla systemu Android, przy czym cyberprzestępcy umiejętnie łączą dyskretne operacje ze skutecznymi technikami odzyskiwania danych.