ММРат Мобиле Малваре

Нови Андроид банкарски малвер под називом ММРат користи неуобичајену технику комуникације познату као серијализација протобуф података. Овај приступ побољшава ефикасност малвера у издвајању информација са компромитованих уређаја.

Откривен од стране стручњака за сајбер безбедност у јуну 2023., ММРат је првенствено концентрисан на циљање корисника који се налазе у југоисточној Азији. Иако је прецизан метод почетне дисеминације малвера потенцијалним жртвама и даље непознат, истраживачи су идентификовали да се ММРат шири преко веб локација које се представљају као легитимне продавнице апликација.

Лажне апликације које носе ММРат малвер преузимају и инсталирају несуђене жртве. Често се ове апликације имитирају као владине апликације или платформе за упознавање. Након тога, током инсталације, апликације захтевају да добију основне дозволе, укључујући приступ Андроид-овој услузи Приступачност.

Коришћењем предности функције приступачности, малвер аутоматски обезбеђује додатне дозволе за себе. Ово омогућава ММРат-у да изврши широк спектар штетних активности на компромитованом уређају.

ММРат омогућава сајбер криминалцима да преузму контролу над бројним функцијама уређаја

Када ММРат добије приступ Андроид уређају, успоставља комуникацију са Ц2 сервером и прати активност уређаја током периода мировања. Током ових интервала, нападачи искоришћавају услугу приступачности да би даљински пробудили уређај, откључали га и извршили банковну превару у реалном времену.

ММРат-ове кључне функције укључују прикупљање података о мрежи, екрану и батерији, ексфилтрирање корисничких контаката и листа апликација, хватање корисничких уноса путем кеилоггинг-а, преузимање садржаја екрана у реалном времену преко МедиаПројецтион АПИ-ја, снимање и пренос података камере уживо, изношење података са екрана у текст форму на Ц2 сервер, и на крају се деинсталира да би избрисала трагове инфекције.

Ефикасан пренос података ММРат-а је од виталног значаја за његову способност да ухвати садржај екрана у реалном времену и извуче текстуалне податке из „стања корисничког терминала“. Да би омогућили ефикасну банковну превару, аутори малвера су дизајнирали прилагођени Протобуф протокол за ексфилтрацију података.

ММРат користи необичну технику комуникације да дође до сервера нападача

ММРат користи посебан протокол за команду и контролу (Ц2) сервера који користи оно што је познато као бафери протокола (Протобуф) да би се олакшао поједностављен пренос података — што је реткост у домену Андроид тројанаца. Протобуф, техника серијализације података коју је развио Гоогле, функционише слично као КСМЛ и ЈСОН, али има мањи и бржи отисак.

ММРат користи различите портове и протоколе за своје интеракције са Ц2. Они обухватају ХТТП на порту 8080 за ексфилтрацију података, РТСП и порт 8554 за видео стримовање и персонализовану имплементацију Протобуф-а на порту 8887 за команду и контролу.

Јединственост Ц&Ц протокола лежи у томе што је прилагођен да користи Нетти, оквир мрежне апликације и претходно поменути Протобуф. Ово такође укључује добро структуриране поруке. У оквиру Ц&Ц комуникације, актер претње усваја свеобухватну структуру која обухвата све типове порука и кључну реч „онеоф“ која означава различите категорије података.

Поред ефикасности Протобуфа, коришћење прилагођених протокола подстиче избегавање против безбедносних алата мреже који обично идентификују препознатљиве обрасце већ познатих претњи. Захваљујући Протобуф-овој свестраности, креатори ММРат-а имају слободу да дефинишу своје структуре порука и регулишу методе преноса података. У међувремену, његов систематски дизајн гарантује да се отпремљени подаци придржавају унапред дефинисаног дизајна, смањујући вероватноћу корупције по пријему.

ММРат мобилна претња приказује растућу сложеност Андроид банкарских тројанаца, при чему сајбер криминалци вешто комбинују дискретне операције са ефикасним техникама преузимања података.