MMRat Mobil Kötü Amaçlı Yazılım

MMRat adlı yeni ortaya çıkan bir Android bankacılık kötü amaçlı yazılımı, protobuf veri serileştirmesi olarak bilinen alışılmadık bir iletişim tekniğini kullanıyor. Bu yaklaşım, kötü amaçlı yazılımın ele geçirilen cihazlardan bilgi çıkarmadaki verimliliğini artırır.

Haziran 2023'te siber güvenlik uzmanları tarafından ortaya çıkarılan MMRat, öncelikli olarak Güneydoğu Asya'da bulunan kullanıcıları hedeflemeye odaklanıyor. Kötü amaçlı yazılımın potansiyel kurbanlara ilk yayılma yönteminin kesin olarak bilinmemesine rağmen araştırmacılar, MMRat'ın meşru uygulama mağazası gibi görünen web siteleri aracılığıyla yayıldığını tespit etti.

MMRat kötü amaçlı yazılımını taşıyan sahte uygulamalar, hiçbir şeyden şüphelenmeyen kurbanlar tarafından indirilip kuruluyor. Çoğu zaman bu uygulamalar devlet uygulamalarını veya flört platformlarını taklit eder. Daha sonra, kurulum sırasında uygulamalar, Android'in Erişilebilirlik hizmetine erişim de dahil olmak üzere gerekli izinleri almayı talep ediyor.

Kötü amaçlı yazılım, Erişilebilirlik özelliğinden yararlanarak kendisi için otomatik olarak ek izinler sağlar. Bu, MMRat'ın ele geçirilen cihazda çok çeşitli zararlı etkinlikleri yürütmesine olanak tanır.

MMRat, Siber Suçluların Çok Sayıda Cihaz İşlevinin Kontrolünü Ele Geçirmesine Olanak Sağlıyor

MMRat bir Android cihaza erişim sağladığında, bir C2 sunucusuyla iletişim kurar ve boşta kalma süreleri boyunca cihaz etkinliğini izler. Bu aralıklar sırasında saldırganlar, cihazı uzaktan uyandırmak, kilidini açmak ve gerçek zamanlı banka dolandırıcılığı gerçekleştirmek için Erişilebilirlik Hizmetinden yararlanır.

MMRat'ın temel işlevleri arasında ağ, ekran ve pil verilerinin toplanması, kullanıcı bağlantılarının ve uygulama listelerinin sızdırılması, keylogging yoluyla kullanıcı girişlerinin yakalanması, MediaProjection API aracılığıyla gerçek zamanlı ekran içeriğinin yakalanması, kamera verilerinin kaydedilmesi ve canlı yayınlanması, ekran verilerinin metne aktarılması yer alır. C2 sunucusuna form gönderiyor ve sonuçta enfeksiyon izlerini silmek için kendini kaldırıyor.

MMRat'ın verimli veri iletimi, gerçek zamanlı ekran içeriğini yakalama ve 'kullanıcı terminali durumundan' metin verilerini çıkarma yeteneği açısından hayati öneme sahiptir. Kötü amaçlı yazılımın yazarları, etkili banka dolandırıcılığını mümkün kılmak amacıyla veri hırsızlığına yönelik özel bir Protobuf protokolü tasarladı.

MMRat, Saldırganın Sunucusuna Ulaşmak İçin Sıra Dışı Bir İletişim Tekniği Kullanıyor

MMRat, düzenli veri aktarımını kolaylaştırmak için protokol arabellekleri (Protobuf) olarak bilinenleri kullanan farklı bir Komuta ve Kontrol (C2) sunucu protokolü kullanır; bu, Android truva atları alanında nadir görülen bir durumdur. Google tarafından geliştirilen bir veri serileştirme tekniği olan Protobuf, XML ve JSON'a benzer şekilde çalışır ancak daha küçük ve daha hızlı bir ayak izine sahiptir.

MMRat, C2 ile etkileşimleri için çeşitli bağlantı noktaları ve protokoller kullanır. Bunlar, veri sızdırma için 8080 numaralı bağlantı noktasındaki HTTP'yi, video akışı için RTSP ve 8554 numaralı bağlantı noktasını ve komuta ve kontrol için 8887 numaralı bağlantı noktasında kişiselleştirilmiş bir Protobuf uygulamasını kapsar.

C&C protokolünün benzersizliği, bir ağ uygulama çerçevesi olan Netty'yi ve daha önce bahsedilen Protobuf'u kullanacak şekilde uyarlanmış olmasıdır. Bu aynı zamanda iyi yapılandırılmış mesajları da içerir. C&C iletişiminde tehdit aktörü, tüm mesaj türlerini ve farklı veri kategorilerini belirtmek için "oneof" anahtar kelimesini içerecek kapsamlı bir yapıyı benimser.

Protobuf'un verimliliğinin ötesinde, özel protokollerin kullanılması, halihazırda bilinen tehditlerin tanınabilir kalıplarını genellikle tanımlayan ağ güvenlik araçlarından kaçınmayı destekler. Protobuf'un çok yönlülüğü sayesinde MMRat'ın yaratıcıları mesaj yapılarını tanımlama ve veri aktarım yöntemlerini düzenleme özgürlüğüne sahiptir. Bu arada sistematik tasarımı, gönderilen verilerin önceden tanımlanmış tasarımlara uymasını garanti ederek, alındığında bozulma olasılığını azaltır.

MMRat mobil tehdidi, siber suçluların gizli operasyonları etkili veri alma teknikleriyle ustalıkla birleştirmesiyle Android bankacılık Truva atlarının gelişen karmaşıklığını gözler önüne seriyor.