MMRat Mobile Malware

Vznikajúci malvér Android banking s názvom MMRat využíva neobvyklú komunikačnú techniku známu ako serializácia dát protobuf. Tento prístup zvyšuje efektivitu malvéru pri získavaní informácií z napadnutých zariadení.

MMRat, ktorý objavili odborníci na kybernetickú bezpečnosť v júni 2023, sa primárne zameriava na zacielenie na používateľov v juhovýchodnej Ázii. Hoci presná metóda počiatočného šírenia malvéru potenciálnym obetiam zostáva neznáma, vedci zistili, že MMRat sa šíri prostredníctvom webových stránok, ktoré sa tvária ako legitímne obchody s aplikáciami.

Podvodné aplikácie nesúce malvér MMRat si sťahujú a inštalujú nič netušiace obete. Tieto aplikácie sa často vydávajú za vládne aplikácie alebo zoznamovacie platformy. Následne počas inštalácie aplikácie požiadajú o získanie základných oprávnení vrátane prístupu k službe dostupnosti systému Android.

Využitím funkcie dostupnosti si malvér automaticky zabezpečí ďalšie povolenia. To umožňuje MMRat vykonávať širokú škálu škodlivých aktivít na napadnutom zariadení.

MMRat umožňuje kyberzločincom prevziať kontrolu nad mnohými funkciami zariadenia

Keď MMRat získa prístup k zariadeniu Android, nadviaže komunikáciu so serverom C2 a monitoruje aktivitu zariadenia počas nečinnosti. Počas týchto intervalov útočníci využívajú službu dostupnosti na vzdialené prebudenie zariadenia, jeho odomknutie a uskutočnenie bankových podvodov v reálnom čase.

Medzi kľúčové funkcie MMRat patrí zhromažďovanie údajov o sieti, obrazovke a batérii, exfiltrácia používateľských kontaktov a zoznamov aplikácií, zachytávanie používateľských vstupov prostredníctvom keyloggingu, zachytávanie obsahu obrazovky v reálnom čase prostredníctvom rozhrania MediaProjection API, nahrávanie a živé vysielanie údajov z kamery, ukladanie údajov z obrazovky do textu. na server C2 a nakoniec sa odinštaluje, aby sa vymazali stopy infekcie.

Efektívny prenos dát MMRat je životne dôležitý pre jeho schopnosť zachytiť obsah obrazovky v reálnom čase a extrahovať textové dáta zo „stavu používateľského terminálu“. Aby autori malvéru umožnili efektívne bankové podvody, navrhli vlastný protokol Protobuf na exfiltráciu údajov.

MMRat využíva neobvyklú komunikačnú techniku na dosiahnutie servera útočníka

MMRat využíva odlišný serverový protokol Command and Control (C2), ktorý využíva takzvané protokolové vyrovnávacie pamäte (Protobuf) na uľahčenie efektívneho prenosu údajov – rarita v oblasti trójskych koní Android. Protobuf, technika serializácie údajov vyvinutá spoločnosťou Google, funguje podobne ako XML a JSON, ale môže sa pochváliť menšou a rýchlejšou stopou.

MMRat využíva rôzne porty a protokoly na interakciu s C2. Zahŕňajú HTTP na porte 8080 pre exfiltráciu dát, RTSP a port 8554 pre streamovanie videa a personalizovanú implementáciu Protobuf na porte 8887 pre príkazy a riadenie.

Jedinečnosť protokolu C&C spočíva v tom, že je prispôsobený na použitie Netty, sieťového aplikačného rámca a vyššie spomínaného Protobufu. To tiež zahŕňa dobre štruktúrované správy. V rámci komunikácie C&C aktér hrozby prijíma komplexnú štruktúru, ktorá zahŕňa všetky typy správ a kľúčové slovo „oneof“ na označenie rôznych kategórií údajov.

Okrem efektívnosti Protobufu podporuje používanie vlastných protokolov vyhýbanie sa nástrojom zabezpečenia siete, ktoré zvyčajne identifikujú rozpoznateľné vzory už známych hrozieb. Vďaka všestrannosti Protobufu majú tvorcovia MMRat slobodu definovať svoje štruktúry správ a regulovať metódy prenosu dát. Medzitým jeho systematický dizajn zaručuje, že odosielané údaje dodržiavajú preddefinované návrhy, čím sa znižuje pravdepodobnosť poškodenia pri prijatí.

Mobilná hrozba MMRat ukazuje vyvíjajúcu sa zložitosť bankových trójskych koní Android, pričom kyberzločinci šikovne kombinujú diskrétne operácie s účinnými technikami získavania údajov.