MMRat Mobile Malware

Um malware bancário emergente para Android chamado MMRat emprega uma técnica de comunicação incomum conhecida como serialização de dados protobuf. Esta abordagem aumenta a eficiência do malware na extração de informações de dispositivos comprometidos.

Descoberto por especialistas em segurança cibernética em junho de 2023, o MMRat concentra-se principalmente em usuários localizados no Sudeste Asiático. Embora o método preciso de disseminação inicial do malware para vítimas em potencial permaneça desconhecido, os pesquisadores identificaram que o MMRat se espalha através de sites que se passam por lojas de aplicativos legítimas.

Os aplicativos fraudulentos que transportam o malware MMRat são baixados e instalados por vítimas inocentes. Freqüentemente, esses aplicativos se fazem passar por aplicativos governamentais ou plataformas de namoro. Posteriormente, durante a instalação, os aplicativos solicitam o recebimento de permissões essenciais, incluindo acesso ao serviço de Acessibilidade do Android.

Ao aproveitar o recurso de acessibilidade, o malware protege automaticamente permissões adicionais para si mesmo. Isso permite que o MMRat execute uma ampla gama de atividades prejudiciais no dispositivo comprometido.

O MMRat Permite que Criminosos Cibernéticos Assumam o Controle de Inúmeras Funções de Dispositivos

Depois que o MMRat obtém acesso a um dispositivo Android, ele estabelece comunicação com um servidor C2 e monitora a atividade do dispositivo durante períodos ociosos. Durante esses intervalos, os invasores exploram o Serviço de Acessibilidade para ativar remotamente o dispositivo, desbloqueá-lo e realizar fraudes bancárias em tempo real.

As principais funções do MMRat incluem coleta de dados de rede, tela e bateria, exfiltração de contatos de usuários e listas de aplicativos, captura de entradas de usuários por meio de keylogging, captura de conteúdo da tela em tempo real por meio da API MediaProjection, gravação e transmissão ao vivo de dados de câmera, despejo de dados de tela em texto formulário para o servidor C2 e, por fim, desinstalando-se para apagar vestígios de infecção.

A transmissão eficiente de dados do MMRat é vital para sua capacidade de capturar conteúdo da tela em tempo real e extrair dados de texto do “estado do terminal do usuário”. Para permitir fraudes bancárias eficazes, os autores do malware desenvolveram um protocolo Protobuf personalizado para exfiltração de dados.

O MMRat Utiliza umaTécnica de Comunicação Incomum para Alcançar o Servidor do Invasor

O MMRat emprega um protocolo de servidor de Comando e Controle (C2) distinto, utilizando o que é conhecido como buffers de protocolo (Protobuf) para facilitar a transferência simplificada de dados – uma raridade no reino dos trojans Android. Protobuf, uma técnica de serialização de dados desenvolvida pelo Google, funciona de forma semelhante ao XML e JSON, mas possui uma pegada menor e mais rápida.

O MMRat emprega diversas portas e protocolos para suas interações com o C2. Eles abrangem HTTP na porta 8080 para exfiltração de dados, RTSP e porta 8554 para streaming de vídeo e uma implementação Protobuf personalizada na porta 8887 para comando e controle.

A singularidade do protocolo C&C reside no fato de ele ser adaptado para usar Netty, uma estrutura de aplicação de rede, e o Protobuf mencionado anteriormente. Isso também incorpora mensagens bem estruturadas. Na comunicação C&C, o agente da ameaça adota uma estrutura abrangente para incorporar todos os tipos de mensagens e a palavra-chave “oneof” para indicar categorias de dados distintas.

Além da eficiência do Protobuf, a utilização de protocolos personalizados reforça a evasão contra ferramentas de segurança de rede que normalmente identificam padrões reconhecíveis de ameaças já conhecidas. Graças à versatilidade do Protobuf, os criadores do MMRat têm a liberdade de definir as estruturas das suas mensagens e regular os métodos de transmissão de dados. Enquanto isso, seu design sistemático garante que os dados despachados sigam designs predefinidos, reduzindo a probabilidade de corrupção ao serem recebidos.

A ameaça para o celular MMRat mostra a crescente complexidade dos Trojans bancários Android, com os cibercriminosos combinando habilmente operações discretas com técnicas eficazes de recuperação de dados.