MMRat mobil skadlig programvara

En framväxande skadlig programvara för Android-banker vid namn MMRat använder en ovanlig kommunikationsteknik som kallas protobuf-dataserialisering. Detta tillvägagångssätt förbättrar skadlig programvaras effektivitet när det gäller att extrahera information från komprometterade enheter.

MMRat, som grävdes fram av cybersäkerhetsexperter i juni 2023, är främst inriktat på att rikta in sig på användare i Sydostasien. Även om den exakta metoden för skadlig programvaras initiala spridning till potentiella offer fortfarande är okänd, har forskare identifierat att MMRat sprids via webbplatser som utger sig för att vara legitima appbutiker.

De bedrägliga applikationerna som bär MMRat skadlig programvara laddas ner och installeras av intet ont anande offer. Ofta efterliknar dessa applikationer statliga applikationer eller dejtingplattformar. Därefter, under installationen, begär applikationerna att få nödvändiga behörigheter, inklusive åtkomst till Androids tillgänglighetstjänst.

Genom att dra fördel av tillgänglighetsfunktionen säkrar skadlig programvara automatiskt ytterligare behörigheter för sig själv. Detta gör att MMRat kan utföra ett brett spektrum av skadliga aktiviteter på den komprometterade enheten.

MMRat tillåter cyberbrottslingar att ta kontroll över många enhetsfunktioner

När MMRat får åtkomst till en Android-enhet upprättar den kommunikation med en C2-server och övervakar enhetens aktivitet under inaktiva perioder. Under dessa intervaller utnyttjar angripare tillgänglighetstjänsten för att fjärrväcka enheten, låsa upp den och utföra bankbedrägerier i realtid.

MMRats nyckelfunktioner inkluderar insamling av nätverks-, skärm- och batteridata, exfiltrering av användarkontakter och applikationslistor, fånga användarindata via tangentloggning, beslagtagande av skärminnehåll i realtid via MediaProjection API, inspelning och livestreaming av kameradata, dumpning av skärmdata i text formuläret till C2-servern och avinstallerar i slutändan sig själv för att radera spår av infektion.

MMRats effektiva dataöverföring är avgörande för dess förmåga att fånga skärminnehåll i realtid och extrahera textdata från "användarterminalens tillstånd." För att möjliggöra effektiva bankbedrägerier designade upphovsmännen till skadlig programvara ett anpassat Protobuf-protokoll för dataexfiltrering.

MMRat använder en ovanlig kommunikationsteknik för att nå angriparens server

MMRat använder ett distinkt Command and Control (C2) serverprotokoll som använder så kallade protokollbuffertar (Protobuf) för att underlätta strömlinjeformad dataöverföring - en sällsynthet inom Android-trojanernas rike. Protobuf, en dataserialiseringsteknik utvecklad av Google, fungerar på samma sätt som XML och JSON men har ett mindre och snabbare fotavtryck.

MMRat använder olika portar och protokoll för sin interaktion med C2. Dessa omfattar HTTP på port 8080 för dataexfiltrering, RTSP och port 8554 för videoströmning och en personlig Protobuf-implementering på port 8887 för kommando och kontroll.

Det unika med C&C-protokollet ligger i att det är skräddarsytt för att använda Netty, ett ramverk för nätverksapplikationer, och det tidigare nämnda Protobuf. Detta inkluderar också välstrukturerade meddelanden. Inom C&C-kommunikation antar hotaktören en omfattande struktur för att förkroppsliga alla meddelandetyper och nyckelordet "oneof" för att beteckna distinkta datakategorier.

Utöver Protobufs effektivitet, stärker användningen av anpassade protokoll undanflykt mot nätverkssäkerhetsverktyg som vanligtvis identifierar igenkännbara mönster av redan kända hot. Tack vare Protobufs mångsidighet har MMRats skapare friheten att definiera sina meddelandestrukturer och reglera dataöverföringsmetoderna. Samtidigt garanterar dess systematiska design att skickad data följer fördefinierade design, vilket minskar sannolikheten för korruption när de tas emot.

MMRat-mobilhotet visar upp den växande komplexiteten hos Android-banktrojaner, där cyberkriminella skickligt kombinerar diskreta operationer med effektiva datahämtningstekniker.