มัลแวร์มือถือ MMRat

มัลแวร์ธนาคาร Android ที่เกิดขึ้นใหม่ชื่อ MMRat ใช้เทคนิคการสื่อสารที่ไม่ธรรมดาที่เรียกว่า protobuf data serialization วิธีการนี้จะช่วยเพิ่มประสิทธิภาพของมัลแวร์ในการดึงข้อมูลจากอุปกรณ์ที่ถูกบุกรุก

ค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในเดือนมิถุนายน 2566 MMRat มุ่งเน้นไปที่การกำหนดเป้าหมายผู้ใช้ในเอเชียตะวันออกเฉียงใต้เป็นหลัก แม้ว่าวิธีการที่แม่นยำในการแพร่กระจายครั้งแรกของมัลแวร์ไปยังผู้ที่อาจเป็นเหยื่อยังไม่เป็นที่ทราบแน่ชัด นักวิจัยได้ระบุว่า MMRat แพร่กระจายผ่านเว็บไซต์ที่อ้างว่าเป็นร้านแอปที่ถูกกฎหมาย

แอปพลิเคชั่นหลอกลวงที่มีมัลแวร์ MMRat จะถูกดาวน์โหลดและติดตั้งโดยเหยื่อที่ไม่สงสัย บ่อยครั้งที่แอปพลิเคชันเหล่านี้แอบอ้างเป็นแอปพลิเคชันของรัฐบาลหรือแพลตฟอร์มหาคู่ ต่อจากนั้น ในระหว่างการติดตั้ง แอปพลิเคชันจะขอสิทธิ์ที่จำเป็น รวมถึงการเข้าถึงบริการการเข้าถึงของ Android

ด้วยการใช้ประโยชน์จากคุณสมบัติการเข้าถึง มัลแวร์จะรักษาความปลอดภัยให้กับการอนุญาตเพิ่มเติมสำหรับตัวมันเองโดยอัตโนมัติ สิ่งนี้ทำให้ MMRat สามารถดำเนินกิจกรรมที่เป็นอันตรายมากมายบนอุปกรณ์ที่ถูกบุกรุกได้

MMRat ช่วยให้อาชญากรไซเบอร์สามารถควบคุมฟังก์ชันอุปกรณ์มากมายได้

เมื่อ MMRat เข้าถึงอุปกรณ์ Android ได้ มันจะสร้างการสื่อสารกับเซิร์ฟเวอร์ C2 และตรวจสอบกิจกรรมของอุปกรณ์ในช่วงที่ไม่ได้ใช้งาน ในช่วงเวลาเหล่านี้ ผู้โจมตีจะใช้ประโยชน์จากบริการการเข้าถึงเพื่อปลุกอุปกรณ์จากระยะไกล ปลดล็อค และดำเนินการฉ้อโกงทางธนาคารแบบเรียลไทม์

ฟังก์ชั่นหลักของ MMRat ได้แก่ การรวบรวมข้อมูลเครือข่าย หน้าจอ และแบตเตอรี่ การกรองรายชื่อผู้ติดต่อของผู้ใช้และรายการแอปพลิเคชัน บันทึกอินพุตของผู้ใช้ผ่านการล็อคปุ่ม การยึดเนื้อหาหน้าจอแบบเรียลไทม์ผ่าน MediaProjection API การบันทึกและการสตรีมข้อมูลกล้องถ่ายทอดสด การทิ้งข้อมูลหน้าจอเป็นข้อความ ไปยังเซิร์ฟเวอร์ C2 และถอนการติดตั้งตัวเองในที่สุดเพื่อลบร่องรอยของการติดไวรัส

การส่งข้อมูลที่มีประสิทธิภาพของ MMRat มีความสำคัญต่อความสามารถในการจับภาพเนื้อหาบนหน้าจอแบบเรียลไทม์ และดึงข้อมูลข้อความจาก 'สถานะเทอร์มินัลของผู้ใช้' เพื่อให้การฉ้อโกงทางธนาคารมีประสิทธิภาพ ผู้เขียนมัลแวร์ได้ออกแบบโปรโตคอล Protobuf แบบกำหนดเองสำหรับการขโมยข้อมูล

MMRat ใช้เทคนิคการสื่อสารที่ผิดปกติเพื่อเข้าถึงเซิร์ฟเวอร์ของผู้โจมตี

MMRat ใช้โปรโตคอลเซิร์ฟเวอร์ Command and Control (C2) ที่แตกต่างกันโดยใช้สิ่งที่เรียกว่าบัฟเฟอร์โปรโตคอล (Protobuf) เพื่ออำนวยความสะดวกในการถ่ายโอนข้อมูลที่มีความคล่องตัว ซึ่งเป็นสิ่งที่หายากภายในขอบเขตของโทรจัน Android Protobuf ซึ่งเป็นเทคนิคการจัดลำดับข้อมูลที่พัฒนาโดย Google ทำหน้าที่คล้ายกับ XML และ JSON แต่มีขนาดเล็กกว่าและรวดเร็วกว่า

MMRat ใช้พอร์ตและโปรโตคอลที่หลากหลายสำหรับการโต้ตอบกับ C2 สิ่งเหล่านี้รวม HTTP บนพอร์ต 8080 สำหรับการขโมยข้อมูล, RTSP และพอร์ต 8554 สำหรับการสตรีมวิดีโอ และการใช้งาน Protobuf ส่วนบุคคลบนพอร์ต 8887 สำหรับการสั่งการและการควบคุม

ความพิเศษของโปรโตคอล C&C อยู่ที่การปรับแต่งเพื่อใช้ Netty ซึ่งเป็นเฟรมเวิร์กแอปพลิเคชันเครือข่าย และ Protobuf ที่กล่าวถึงก่อนหน้านี้ นอกจากนี้ยังรวมเอาข้อความที่มีโครงสร้างที่ดีด้วย ภายในการสื่อสารของ C&C ผู้ดำเนินการภัยคุกคามจะใช้โครงสร้างที่ครอบคลุมเพื่อรวบรวมข้อความทุกประเภท และใช้คีย์เวิร์ด "oneof" เพื่อระบุหมวดหมู่ข้อมูลที่แตกต่างกัน

นอกเหนือจากประสิทธิภาพของ Protobuf แล้ว การใช้โปรโตคอลแบบกำหนดเองยังช่วยเพิ่มการหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยเครือข่ายที่โดยทั่วไปจะระบุรูปแบบภัยคุกคามที่รู้จักอยู่แล้ว ต้องขอบคุณความสามารถรอบด้านของ Protobuf ผู้สร้าง MMRat มีอิสระในการกำหนดโครงสร้างข้อความและควบคุมวิธีการส่งข้อมูล ในขณะเดียวกัน การออกแบบที่เป็นระบบรับประกันว่าข้อมูลที่จัดส่งจะเป็นไปตามการออกแบบที่กำหนดไว้ล่วงหน้า ซึ่งช่วยลดโอกาสที่จะเกิดความเสียหายเมื่อได้รับ

ภัยคุกคามบนมือถือ MMRat แสดงให้เห็นถึงความซับซ้อนที่เปลี่ยนแปลงไปของโทรจันธนาคาร Android โดยอาชญากรไซเบอร์ผสมผสานการดำเนินการที่รอบคอบเข้ากับเทคนิคการดึงข้อมูลที่มีประสิทธิภาพได้อย่างเชี่ยวชาญ