MMRat Mobile Malware

Un program malware bancar Android emergent, numit MMRat, folosește o tehnică de comunicare neobișnuită, cunoscută sub numele de serializare a datelor protobuf. Această abordare îmbunătățește eficiența malware-ului în extragerea informațiilor de pe dispozitivele compromise.

Descoperit de experții în securitate cibernetică în iunie 2023, MMRat se concentrează în primul rând pe vizarea utilizatorilor aflați în Asia de Sud-Est. Deși metoda precisă de răspândire inițială a malware-ului către potențialele victime rămâne necunoscută, cercetătorii au identificat că MMRat se răspândește prin site-uri web care se prezintă drept magazine de aplicații legitime.

Aplicațiile frauduloase care poartă malware MMRat sunt descărcate și instalate de victime nebănuitoare. Adesea, aceste aplicații uzurpa identitatea aplicațiilor guvernamentale sau a platformelor de întâlniri. Ulterior, în timpul instalării, aplicațiile solicită să primească permisiuni esențiale, inclusiv acces la serviciul de accesibilitate Android.

Profitând de funcția de accesibilitate, malware-ul își asigură automat permisiuni suplimentare. Acest lucru permite MMRat să execute o gamă largă de activități dăunătoare pe dispozitivul compromis.

MMRat permite criminalilor cibernetici să preia controlul asupra numeroaselor funcții ale dispozitivului

Odată ce MMRat obține acces la un dispozitiv Android, stabilește comunicarea cu un server C2 și monitorizează activitatea dispozitivului pentru perioadele de inactivitate. În aceste intervale, atacatorii exploatează Serviciul de accesibilitate pentru a trezi dispozitivul de la distanță, pentru a-l debloca și pentru a efectua fraude bancare în timp real.

Funcțiile cheie ale MMRat includ colectarea datelor de rețea, ecran și baterie, exfiltrarea contactelor utilizatorilor și a listelor de aplicații, capturarea intrărilor utilizatorilor prin înregistrarea tastelor, capturarea conținutului ecranului în timp real prin API-ul MediaProjection, înregistrarea și transmiterea în direct a datelor camerei, descărcarea datelor de pe ecran în text formular pe serverul C2 și, în cele din urmă, se dezinstalează pentru a șterge urmele de infecție.

Transmiterea eficientă a datelor MMRat este vitală pentru capacitatea sa de a capta conținutul ecranului în timp real și de a extrage date text din „starea terminalului utilizatorului”. Pentru a permite frauda bancară eficientă, autorii malware-ului au conceput un protocol personalizat Protobuf pentru exfiltrarea datelor.

MMRat utilizează o tehnică de comunicare neobișnuită pentru a ajunge la serverul atacatorului

MMRat folosește un protocol distinct de server de comandă și control (C2), care utilizează ceea ce este cunoscut sub numele de tampon de protocol (Protobuf) pentru a facilita transferul eficient de date - o raritate în domeniul troienilor Android. Protobuf, o tehnică de serializare a datelor dezvoltată de Google, funcționează similar cu XML și JSON, dar are o amprentă mai mică și mai rapidă.

MMRat folosește porturi și protocoale asortate pentru interacțiunile sale cu C2. Acestea includ HTTP pe portul 8080 pentru exfiltrarea datelor, RTSP și portul 8554 pentru streaming video și o implementare personalizată Protobuf pe portul 8887 pentru comandă și control.

Unicitatea protocolului C&C constă în faptul că este adaptat pentru a utiliza Netty, un cadru de aplicații de rețea și Protobuf menționat anterior. Aceasta include, de asemenea, mesaje bine structurate. În cadrul comunicării C&C, actorul amenințării adoptă o structură cuprinzătoare pentru a întruchipa toate tipurile de mesaje și cuvântul cheie „unul dintre” pentru a semnifica categorii distincte de date.

Dincolo de eficiența Protobuf, utilizarea protocoalelor personalizate întărește evaziunea împotriva instrumentelor de securitate a rețelei care identifică de obicei modele recunoscute ale amenințărilor deja cunoscute. Datorită versatilității Protobuf, creatorii MMRat au libertatea de a-și defini structurile de mesaje și de a reglementa metodele de transmitere a datelor. Între timp, designul său sistematic garantează că datele expediate aderă la modele predefinite, reducând probabilitatea de corupție la primire.

Amenințarea mobilă MMRat arată complexitatea în evoluție a troienilor bancare Android, infractorii cibernetici combinând cu pricepere operațiuni discrete cu tehnici eficiente de recuperare a datelor.