Phần mềm độc hại di động MMrat
Một phần mềm độc hại ngân hàng Android mới nổi có tên MMRat sử dụng một kỹ thuật giao tiếp không phổ biến được gọi là tuần tự hóa dữ liệu protobuf. Cách tiếp cận này nâng cao hiệu quả của phần mềm độc hại trong việc trích xuất thông tin từ các thiết bị bị xâm nhập.
Được các chuyên gia an ninh mạng phát hiện vào tháng 6 năm 2023, MMRat chủ yếu tập trung vào việc nhắm mục tiêu đến người dùng ở Đông Nam Á. Mặc dù vẫn chưa xác định được phương pháp chính xác của việc phát tán phần mềm độc hại ban đầu tới các nạn nhân tiềm năng, nhưng các nhà nghiên cứu đã xác định rằng MMRat lây lan qua các trang web giả danh là cửa hàng ứng dụng hợp pháp.
Các ứng dụng lừa đảo mang phần mềm độc hại MMRat được những nạn nhân không nghi ngờ tải xuống và cài đặt. Thông thường, những ứng dụng này mạo danh ứng dụng của chính phủ hoặc nền tảng hẹn hò. Sau đó, trong quá trình cài đặt, các ứng dụng sẽ yêu cầu nhận các quyền cần thiết, bao gồm cả quyền truy cập vào dịch vụ Trợ năng của Android.
Bằng cách tận dụng tính năng Trợ năng, phần mềm độc hại sẽ tự động đảm bảo các quyền bổ sung cho chính nó. Điều này cho phép MMRat thực hiện một loạt hoạt động có hại trên thiết bị bị xâm nhập.
MMRat cho phép tội phạm mạng kiểm soát nhiều chức năng của thiết bị
Khi MMRat có quyền truy cập vào thiết bị Android, nó sẽ thiết lập liên lạc với máy chủ C2 và giám sát hoạt động của thiết bị trong thời gian rảnh. Trong những khoảng thời gian này, kẻ tấn công khai thác Dịch vụ trợ năng để đánh thức thiết bị từ xa, mở khóa thiết bị và thực hiện hành vi lừa đảo ngân hàng theo thời gian thực.
Các chức năng chính của MMRat bao gồm thu thập dữ liệu mạng, màn hình và pin, lọc danh sách liên hệ và ứng dụng của người dùng, ghi lại thông tin đầu vào của người dùng thông qua keylogging, thu thập nội dung màn hình thời gian thực thông qua API MediaProjection, ghi và phát trực tiếp dữ liệu camera, chuyển dữ liệu màn hình vào văn bản vào máy chủ C2 và cuối cùng tự gỡ cài đặt để xóa dấu vết lây nhiễm.
Khả năng truyền dữ liệu hiệu quả của MMRat rất quan trọng đối với khả năng ghi lại nội dung màn hình theo thời gian thực và trích xuất dữ liệu văn bản từ 'trạng thái đầu cuối của người dùng'. Để cho phép gian lận ngân hàng hiệu quả, tác giả của phần mềm độc hại đã thiết kế một giao thức Protobuf tùy chỉnh để lọc dữ liệu.
MMRat sử dụng kỹ thuật giao tiếp bất thường để tiếp cận máy chủ của kẻ tấn công
MMRat sử dụng giao thức máy chủ Lệnh và Kiểm soát (C2) riêng biệt sử dụng cái được gọi là bộ đệm giao thức (Protobuf) để hỗ trợ truyền dữ liệu hợp lý—một điều hiếm thấy trong lĩnh vực trojan Android. Protobuf, một kỹ thuật tuần tự hóa dữ liệu do Google phát triển, hoạt động tương tự như XML và JSON nhưng có dung lượng nhỏ hơn và nhanh hơn.
MMRat sử dụng các loại cổng và giao thức để tương tác với C2. Chúng bao gồm HTTP trên cổng 8080 để lọc dữ liệu, RTSP và cổng 8554 để truyền phát video và triển khai Protobuf được cá nhân hóa trên cổng 8887 để ra lệnh và kiểm soát.
Tính độc đáo của giao thức C&C nằm ở chỗ nó được điều chỉnh để sử dụng Netty, một khung ứng dụng mạng và Protobuf đã đề cập trước đó. Điều này cũng kết hợp các thông điệp có cấu trúc tốt. Trong giao tiếp C&C, kẻ đe dọa sử dụng một cấu trúc toàn diện để bao gồm tất cả các loại thông báo và từ khóa "oneof" để biểu thị các danh mục dữ liệu riêng biệt.
Ngoài tính hiệu quả của Protobuf, việc sử dụng các giao thức tùy chỉnh còn giúp tăng cường khả năng trốn tránh các công cụ bảo mật mạng thường xác định các mẫu mối đe dọa đã biết có thể nhận biết được. Nhờ tính linh hoạt của Protobuf, người sáng tạo MMRat có quyền tự do xác định cấu trúc thông điệp của họ và điều chỉnh các phương thức truyền dữ liệu. Trong khi đó, thiết kế mang tính hệ thống của nó đảm bảo rằng dữ liệu được gửi đi tuân thủ các thiết kế được xác định trước, giảm khả năng sai sót khi nhận được.
Mối đe dọa di động MMRat cho thấy sự phức tạp ngày càng tăng của các Trojan ngân hàng trên Android, khi tội phạm mạng kết hợp khéo léo các hoạt động kín đáo với các kỹ thuật truy xuất dữ liệu hiệu quả.
