MMRat Mobile Malware

Gumagamit ang isang umuusbong na malware sa pagbabangko ng Android na pinangalanang MMRat ng hindi pangkaraniwang pamamaraan ng komunikasyon na kilala bilang protobuf data serialization. Pinahuhusay ng diskarteng ito ang kahusayan ng malware sa pagkuha ng impormasyon mula sa mga nakompromisong device.

Nahukay ng mga eksperto sa cybersecurity noong Hunyo 2023, ang MMRat ay pangunahing nakatuon sa pag-target ng mga user na matatagpuan sa Southeast Asia. Bagama't nananatiling hindi alam ang tumpak na paraan ng paunang pagpapakalat ng malware sa mga potensyal na biktima, natukoy ng mga mananaliksik na kumakalat ang MMRat sa pamamagitan ng mga website na nagpapanggap bilang mga lehitimong app store.

Ang mga mapanlinlang na application na may dalang MMRat malware ay dina-download at na-install ng mga hindi pinaghihinalaang biktima. Kadalasan, ang mga application na ito ay nagpapanggap bilang mga aplikasyon ng gobyerno o mga platform sa pakikipag-date. Kasunod nito, sa panahon ng pag-install, humihiling ang mga application na makatanggap ng mahahalagang pahintulot, kabilang ang pag-access sa serbisyo ng Accessibility ng Android.

Sa pamamagitan ng pagsasamantala sa feature na Accessibility, awtomatikong sinisiguro ng malware ang mga karagdagang pahintulot para sa sarili nito. Nagbibigay-daan ito sa MMRat na magsagawa ng malawak na hanay ng mga mapaminsalang aktibidad sa nakompromisong device.

Binibigyang-daan ng MMRat ang Mga Cybercriminal na Kontrolin ang Maraming Function ng Device

Sa sandaling magkaroon ng access ang MMRat sa isang Android device, magtatatag ito ng komunikasyon sa isang C2 server at sinusubaybayan ang aktibidad ng device para sa mga idle period. Sa mga agwat na ito, sinasamantala ng mga umaatake ang Serbisyo ng Accessibility upang malayuang gisingin ang device, i-unlock ito, at magsagawa ng real-time na panloloko sa bangko.

Kasama sa mga pangunahing function ng MMRat ang pagkolekta ng data ng network, screen, at baterya, pag-exfiltrate ng mga contact ng user at mga listahan ng application, pagkuha ng mga input ng user sa pamamagitan ng keylogging, pag-agaw ng real-time na nilalaman ng screen sa pamamagitan ng MediaProjection API, pag-record at live-streaming na data ng camera, pag-dumping ng data ng screen sa text. form sa C2 server, at sa huli ay ina-uninstall ang sarili nito upang mabura ang mga bakas ng impeksiyon.

Ang mahusay na paghahatid ng data ng MMRat ay mahalaga para sa kakayahan nitong kumuha ng real-time na nilalaman ng screen at kumuha ng data ng text mula sa 'estado ng terminal ng gumagamit.' Upang paganahin ang epektibong panloloko sa bangko, ang mga may-akda ng malware ay nagdisenyo ng isang pasadyang Protobuf protocol para sa pag-exfiltration ng data.

Gumagamit ang MMRat ng Di-pangkaraniwang Pamamaraan sa Komunikasyon para Maabot ang Server ng Attacker

Gumagamit ang MMRat ng natatanging Command and Control (C2) server protocol na gumagamit ng tinatawag na protocol buffers (Protobuf) upang mapadali ang streamline na paglilipat ng data—isang pambihira sa larangan ng mga Android trojan. Ang Protobuf, isang pamamaraan ng serialization ng data na binuo ng Google, ay gumagana nang katulad sa XML at JSON ngunit ipinagmamalaki ang isang mas maliit at mas mabilis na footprint.

Gumagamit ang MMRat ng iba't ibang port at protocol para sa mga pakikipag-ugnayan nito sa C2. Ang mga ito ay sumasaklaw sa HTTP sa port 8080 para sa data exfiltration, RTSP at port 8554 para sa video streaming, at isang personalized na pagpapatupad ng Protobuf sa port 8887 para sa command at kontrol.

Ang pagiging natatangi ng C&C protocol ay nakasalalay sa pagiging angkop para gamitin ang Netty, isang network application framework, at ang naunang nabanggit na Protobuf. Kasama rin dito ang mga mensaheng maayos ang pagkakaayos. Sa loob ng komunikasyon ng C&C, ang aktor ng pagbabanta ay gumagamit ng isang komprehensibong istraktura upang isama ang lahat ng mga uri ng mensahe at ang "isa sa" keyword upang magpahiwatig ng mga natatanging kategorya ng data.

Higit pa sa kahusayan ng Protobuf, ang paggamit ng mga custom na protocol ay nagpapalakas ng pag-iwas laban sa mga tool sa seguridad ng network na karaniwang tumutukoy sa mga nakikilalang pattern ng mga alam nang banta. Salamat sa kagalingan ng Protobuf, may kalayaan ang mga tagalikha ng MMRat na tukuyin ang kanilang mga istruktura ng mensahe at i-regulate ang mga paraan ng paghahatid ng data. Samantala, ginagarantiyahan ng sistematikong disenyo nito na ang mga ipinadalang data ay sumusunod sa mga paunang natukoy na disenyo, na binabawasan ang posibilidad ng katiwalian kapag natanggap.

Ang banta sa mobile ng MMRat ay nagpapakita ng umuusbong na pagiging kumplikado ng mga Android banking Trojans, kung saan ang mga cybercriminal ay mahusay na pinagsasama-sama ang mga maingat na operasyon na may epektibong mga diskarte sa pagkuha ng data.