MMRat Mobile Malware

Një malware bankar në zhvillim Android i quajtur MMRat përdor një teknikë të pazakontë komunikimi të njohur si serializimi i të dhënave protobuf. Kjo qasje rrit efikasitetin e malware në nxjerrjen e informacionit nga pajisjet e komprometuara.

I zbuluar nga ekspertët e sigurisë kibernetike në qershor 2023, MMRat është përqendruar kryesisht në shënjestrimin e përdoruesve të vendosur në Azinë Juglindore. Megjithëse metoda e saktë e shpërndarjes fillestare të malware tek viktimat e mundshme mbetet e panjohur, studiuesit kanë identifikuar se MMRat përhapet përmes faqeve të internetit që paraqiten si dyqane të ligjshme aplikacionesh.

Aplikacionet mashtruese që mbajnë malware MMRat shkarkohen dhe instalohen nga viktima që nuk dyshojnë. Shpesh, këto aplikacione imitojnë aplikacionet qeveritare ose platformat e takimeve. Më pas, gjatë instalimit, aplikacionet kërkojnë të marrin leje thelbësore, duke përfshirë aksesin në shërbimin e aksesueshmërisë së Android.

Duke përfituar nga veçoria e aksesueshmërisë, malware siguron automatikisht leje shtesë për vete. Kjo lejon MMRat të ekzekutojë një gamë të gjerë aktivitetesh të dëmshme në pajisjen e komprometuar.

MMRat lejon kriminelët kibernetikë të marrin kontrollin mbi funksione të shumta të pajisjes

Pasi MMRat fiton akses në një pajisje Android, vendos komunikim me një server C2 dhe monitoron aktivitetin e pajisjes për periudha të papunë. Gjatë këtyre intervaleve, sulmuesit shfrytëzojnë Shërbimin e Aksesueshmërisë për të zgjuar nga distanca pajisjen, për ta zhbllokuar atë dhe për të kryer mashtrime bankare në kohë reale.

Funksionet kryesore të MMRat përfshijnë mbledhjen e të dhënave të rrjetit, ekranit dhe baterisë, nxjerrjen e kontakteve të përdoruesve dhe listave të aplikacioneve, kapjen e hyrjeve të përdoruesve përmes regjistrimit të tastierëve, kapjen e përmbajtjes së ekranit në kohë reale përmes MediaProjection API, regjistrimin dhe transmetimin e drejtpërdrejtë të të dhënave të kamerës, hedhjen e të dhënave të ekranit në tekst. formohet në serverin C2, dhe përfundimisht çinstalohet për të fshirë gjurmët e infeksionit.

Transmetimi efikas i të dhënave i MMRat është jetik për aftësinë e tij për të kapur përmbajtjen e ekranit në kohë reale dhe për të nxjerrë të dhëna teksti nga 'gjendja e terminalit të përdoruesit'. Për të mundësuar mashtrim efektiv bankar, autorët e malware projektuan një protokoll të personalizuar Protobuf për ekfiltrimin e të dhënave.

MMRat përdor një teknikë të pazakontë komunikimi për të arritur në serverin e sulmuesit

MMRat përdor një protokoll të veçantë të serverit të komandës dhe kontrollit (C2) duke përdorur atë që njihet si buffers protokolli (Protobuf) për të lehtësuar transferimin e thjeshtë të të dhënave - një gjë e rrallë brenda sferës së trojanëve Android. Protobuf, një teknikë e serializimit të të dhënave e zhvilluar nga Google, funksionon në mënyrë të ngjashme me XML dhe JSON, por krenohet me një gjurmë më të vogël dhe më të shpejtë.

MMRat përdor porte dhe protokolle të ndryshme për ndërveprimet e tij me C2. Këto përfshijnë HTTP në portin 8080 për nxjerrjen e të dhënave, RTSP dhe portin 8554 për transmetimin e videos dhe një zbatim të personalizuar Protobuf në portën 8887 për komandimin dhe kontrollin.

Veçantia e protokollit C&C qëndron në atë që është përshtatur për të përdorur Netty, një kornizë aplikimi rrjeti dhe Protobuf-in e përmendur më parë. Kjo gjithashtu përfshin mesazhe të strukturuara mirë. Brenda komunikimit C&C, aktori i kërcënimit miraton një strukturë gjithëpërfshirëse për të mishëruar të gjitha llojet e mesazheve dhe fjalën kyçe "një prej" për të nënkuptuar kategori të veçanta të të dhënave.

Përtej efikasitetit të Protobuf, përdorimi i protokolleve të personalizuara forcon evazionin ndaj mjeteve të sigurisë së rrjetit që zakonisht identifikojnë modele të njohura të kërcënimeve tashmë të njohura. Falë shkathtësisë së Protobuf, krijuesit e MMRat kanë lirinë të përcaktojnë strukturat e tyre të mesazheve dhe të rregullojnë metodat e transmetimit të të dhënave. Ndërkohë, dizajni i tij sistematik garanton që të dhënat e dërguara t'u përmbahen modeleve të paracaktuara, duke reduktuar gjasat e korrupsionit pas marrjes.

Kërcënimi celular MMRat tregon kompleksitetin në zhvillim të trojanëve bankar Android, me kriminelët kibernetikë që kombinojnë me mjeshtëri operacionet diskrete me teknikat efektive të marrjes së të dhënave.