MMRat Mobile Malware

Nastajajoča zlonamerna programska oprema za bančništvo Android, imenovana MMRat, uporablja neobičajno komunikacijsko tehniko, znano kot serializacija podatkov protobuf. Ta pristop poveča učinkovitost zlonamerne programske opreme pri pridobivanju informacij iz ogroženih naprav.

MMRat, ki so ga junija 2023 odkrili strokovnjaki za kibernetsko varnost, je osredotočen predvsem na uporabnike v jugovzhodni Aziji. Čeprav natančna metoda začetnega širjenja zlonamerne programske opreme potencialnim žrtvam ostaja neznana, so raziskovalci ugotovili, da se MMRat širi prek spletnih mest, ki se predstavljajo kot zakonite trgovine z aplikacijami.

Goljufive aplikacije, ki prenašajo zlonamerno programsko opremo MMRat, prenesejo in namestijo nič hudega sluteče žrtve. Pogosto se te aplikacije predstavljajo kot vladne aplikacije ali platforme za zmenke. Nato med namestitvijo aplikacije zahtevajo bistvena dovoljenja, vključno z dostopom do storitve dostopnosti Android.

Z izkoriščanjem funkcije dostopnosti si zlonamerna programska oprema samodejno zagotovi dodatna dovoljenja. To omogoča MMRat, da izvaja široko paleto škodljivih dejavnosti na ogroženi napravi.

MMRat kibernetskim kriminalcem omogoča, da prevzamejo nadzor nad številnimi funkcijami naprave

Ko MMRat pridobi dostop do naprave Android, vzpostavi komunikacijo s strežnikom C2 in spremlja aktivnost naprave v obdobjih mirovanja. V teh intervalih napadalci izkoristijo Accessibility Service, da na daljavo prebudijo napravo, jo odklenejo in izvedejo bančno goljufijo v realnem času.

Ključne funkcije MMRat vključujejo zbiranje podatkov o omrežju, zaslonu in bateriji, izločanje uporabniških stikov in seznamov aplikacij, zajemanje uporabniških vnosov prek beleženja tipk, zajemanje vsebine zaslona v realnem času prek API-ja MediaProjection, snemanje in pretakanje podatkov kamere v živo, izpis podatkov zaslona v besedilo na strežnik C2 in se na koncu odstrani, da izbriše sledi okužbe.

Učinkovit prenos podatkov MMRat je ključnega pomena za njegovo zmožnost zajemanja vsebine zaslona v realnem času in pridobivanja besedilnih podatkov iz 'stanja uporabniškega terminala.' Da bi omogočili učinkovito bančno goljufijo, so avtorji zlonamerne programske opreme oblikovali protokol Protobuf po meri za izločitev podatkov.

MMRat uporablja nenavadno komunikacijsko tehniko, da doseže napadalčev strežnik

MMRat uporablja poseben strežniški protokol za ukaze in nadzor (C2), ki uporablja tisto, kar je znano kot protokolni medpomnilniki (Protobuf), za olajšanje poenostavljenega prenosa podatkov – redkost na področju trojanskih programov Android. Protobuf, tehnika serializacije podatkov, ki jo je razvil Google, deluje podobno kot XML in JSON, vendar se ponaša z manjšim in hitrejšim odtisom.

MMRat uporablja izbrana vrata in protokole za svoje interakcije s C2. Ti vključujejo HTTP na vratih 8080 za ekstrakcijo podatkov, RTSP in vrata 8554 za pretakanje videa ter prilagojeno implementacijo Protobuf na vratih 8887 za ukazovanje in nadzor.

Edinstvenost protokola C&C je v tem, da je prilagojen za uporabo Nettyja, okvira omrežnih aplikacij, in prej omenjenega Protobufa. To vključuje tudi dobro strukturirana sporočila. Znotraj komunikacije C&C nosilec grožnje sprejme celovito strukturo za vključitev vseh vrst sporočil in ključno besedo »oneof« za označevanje različnih kategorij podatkov.

Poleg učinkovitosti Protobufa uporaba prilagojenih protokolov krepi izogibanje varnostnim orodjem omrežja, ki običajno identificirajo prepoznavne vzorce že znanih groženj. Zahvaljujoč vsestranskosti Protobufa imajo ustvarjalci MMRat svobodo pri definiranju svojih struktur sporočil in urejanju metod prenosa podatkov. Medtem pa njegova sistematična zasnova zagotavlja, da so poslani podatki v skladu z vnaprej določenimi zasnovami, kar zmanjšuje verjetnost okvare ob prejemu.

Mobilna grožnja MMRat prikazuje razvijajočo se kompleksnost bančnih trojancev Android, pri čemer kiberkriminalci spretno združujejo diskretne operacije z učinkovitimi tehnikami pridobivanja podatkov.