Шкідливе програмне забезпечення для мобільних пристроїв MMRat
Зловмисне банківське програмне забезпечення для Android під назвою MMRat, що розвивається, використовує незвичайну техніку зв’язку, відому як серіалізація даних protobuf. Такий підхід підвищує ефективність зловмисного ПЗ у вилученні інформації зі зламаних пристроїв.
MMRat, виявлений фахівцями з кібербезпеки в червні 2023 року, зосереджений переважно на користувачах, які перебувають у Південно-Східній Азії. Хоча точний спосіб початкового поширення зловмисного програмного забезпечення серед потенційних жертв залишається невідомим, дослідники виявили, що MMRat поширюється через веб-сайти, які видають себе за законні магазини програм.
Жертви, які нічого не підозрюють, завантажують і встановлюють шахрайські програми, які містять шкідливе програмне забезпечення MMRat. Часто ці програми видають себе за державні програми або платформи знайомств. Згодом, під час інсталяції, програми вимагають отримання основних дозволів, включаючи доступ до служби доступності Android.
Використовуючи переваги функції доступності, зловмисне програмне забезпечення автоматично забезпечує собі додаткові дозволи. Це дозволяє MMRat виконувати широкий спектр шкідливих дій на скомпрометованому пристрої.
MMRat дозволяє кіберзлочинцям контролювати численні функції пристрою
Коли MMRat отримує доступ до пристрою Android, він встановлює зв’язок із сервером C2 і відстежує активність пристрою протягом періодів простою. Протягом цих інтервалів зловмисники використовують службу доступності, щоб дистанційно активувати пристрій, розблокувати його та здійснювати банківські шахрайства в реальному часі.
Основні функції MMRat включають збір даних про мережу, екран і батарею, фільтрацію контактів користувачів і списків додатків, захоплення введених користувачем даних за допомогою клавіатурних журналів, захоплення вмісту екрана в реальному часі через MediaProjection API, запис і пряму трансляцію даних камери, скидання даних екрана в текст форму на сервер C2, і в кінцевому підсумку видалення себе, щоб стерти сліди зараження.
Ефективна передача даних MMRat має життєво важливе значення для його здатності захоплювати вміст екрана в реальному часі та витягувати текстові дані зі «стану терміналу користувача». Щоб забезпечити ефективне банківське шахрайство, автори зловмисного програмного забезпечення розробили спеціальний протокол Protobuf для викрадання даних.
MMRat використовує незвичайну техніку зв’язку, щоб досягти сервера зловмисника
MMRat використовує окремий серверний протокол командування та керування (C2), який використовує так звані буфери протоколу (Protobuf) для полегшення передачі даних — рідкість серед троянів Android. Protobuf, техніка серіалізації даних, розроблена Google, функціонує подібно до XML і JSON, але має менший і швидший слід.
MMRat використовує різноманітні порти та протоколи для взаємодії з C2. Вони охоплюють HTTP на порту 8080 для вилучення даних, RTSP і порт 8554 для потокового відео та персоналізовану реалізацію Protobuf на порту 8887 для командування та контролю.
Унікальність протоколу C&C полягає в тому, що він налаштований на використання Netty, фреймворку мережевих додатків, і раніше згаданого Protobuf. Це також включає добре структуровані повідомлення. У зв’язку C&C суб’єкт загрози використовує комплексну структуру для втілення всіх типів повідомлень і ключове слово «oneof» для позначення окремих категорій даних.
Крім ефективності Protobuf, використання користувацьких протоколів сприяє уникненню інструментів мережевої безпеки, які зазвичай ідентифікують розпізнавані моделі вже відомих загроз. Завдяки універсальності Protobuf творці MMRat мають свободу визначати структуру повідомлень і регулювати методи передачі даних. У той же час його систематичний дизайн гарантує, що надіслані дані відповідають попередньо визначеним дизайнам, зменшуючи ймовірність пошкодження під час отримання.
Мобільна загроза MMRat демонструє розвиток складності банківських троянів Android, коли кіберзлочинці вміло поєднують секретні операції з ефективними методами пошуку даних.
