Мобильное вредоносное ПО MMRat

Новое банковское вредоносное ПО для Android под названием MMRat использует необычную технику связи, известную как сериализация данных protobuf. Такой подход повышает эффективность вредоносного ПО при извлечении информации со скомпрометированных устройств.

Обнаруженный экспертами по кибербезопасности в июне 2023 года, MMRat в первую очередь ориентирован на пользователей, находящихся в Юго-Восточной Азии. Хотя точный метод первоначального распространения вредоносного ПО среди потенциальных жертв остается неизвестным, исследователи установили, что MMRat распространяется через веб-сайты, выдающие себя за законные магазины приложений.

Мошеннические приложения, содержащие вредоносное ПО MMRat, загружаются и устанавливаются ничего не подозревающими жертвами. Зачастую эти приложения выдают себя за правительственные приложения или платформы знакомств. Впоследствии, во время установки, приложения запрашивают необходимые разрешения, включая доступ к службе специальных возможностей Android.

Воспользовавшись функцией специальных возможностей, вредоносная программа автоматически обеспечивает себе дополнительные разрешения. Это позволяет MMRat выполнять широкий спектр вредоносных действий на взломанном устройстве.

MMRat позволяет киберпреступникам получить контроль над многочисленными функциями устройства

Как только MMRat получает доступ к устройству Android, он устанавливает связь с сервером C2 и отслеживает активность устройства в периоды простоя. В эти промежутки времени злоумышленники используют Службу доступности для удаленного пробуждения устройства, его разблокировки и совершения банковского мошенничества в режиме реального времени.

Ключевые функции MMRat включают сбор данных о сети, экране и аккумуляторе, извлечение пользовательских контактов и списков приложений, захват вводимых пользователем данных с помощью кейлоггеров, захват содержимого экрана в реальном времени через API MediaProjection, запись и потоковую передачу данных с камеры, выгрузку данных экрана в виде текста. форме на сервер C2 и, в конечном итоге, удалит себя, чтобы стереть следы заражения.

Эффективная передача данных MMRat жизненно важна для его способности захватывать содержимое экрана в реальном времени и извлекать текстовые данные из «состояния пользовательского терминала». Чтобы обеспечить эффективное банковское мошенничество, авторы вредоносного ПО разработали собственный протокол Protobuf для кражи данных.

MMRat использует необычную технику связи для доступа к серверу злоумышленника

MMRat использует отдельный серверный протокол управления и контроля (C2), использующий так называемые буферы протокола (Protobuf) для упрощения передачи данных — редкость среди троянов Android. Protobuf, метод сериализации данных, разработанный Google, функционирует аналогично XML и JSON, но требует меньшего и более быстрого объема.

MMRat использует различные порты и протоколы для взаимодействия с C2. К ним относятся HTTP на порту 8080 для кражи данных, RTSP и порт 8554 для потоковой передачи видео, а также персонализированная реализация Protobuf на порту 8887 для управления и контроля.

Уникальность протокола C&C заключается в том, что он адаптирован для использования Netty, среды сетевых приложений, и ранее упомянутого Protobuf. Это также включает в себя хорошо структурированные сообщения. В рамках связи с командным центром злоумышленник использует комплексную структуру, охватывающую все типы сообщений, и ключевое слово «oneof», обозначающее отдельные категории данных.

Помимо эффективности Protobuf, использование специальных протоколов способствует уклонению от инструментов сетевой безопасности, которые обычно выявляют узнаваемые шаблоны уже известных угроз. Благодаря универсальности Protobuf создатели MMRat имеют свободу определять структуры своих сообщений и регулировать методы передачи данных. Между тем, его систематический дизайн гарантирует, что отправляемые данные соответствуют заранее заданным схемам, что снижает вероятность повреждения при их получении.

Мобильная угроза MMRat демонстрирует растущую сложность банковских троянов для Android: киберпреступники умело сочетают скрытные операции с эффективными методами извлечения данных.