MMRat 移动恶意软件

翻译为：

一种名为 MMRat 的新兴 Android 银行恶意软件采用了一种不常见的通信技术，称为 protobuf 数据序列化。这种方法提高了恶意软件从受感染设备提取信息的效率。

MMRat 于 2023 年 6 月由网络安全专家发现，主要针对东南亚用户。尽管该恶意软件最初传播给潜在受害者的确切方法仍然未知，但研究人员已发现 MMRat 通过冒充合法应用商店的网站进行传播。

毫无戒心的受害者会下载并安装携带 MMRat 恶意软件的欺诈应用程序。通常，这些应用程序会冒充政府应用程序或约会平台。随后，在安装过程中，应用程序会请求接收必要的权限，包括访问 Android 的辅助功能服务。

通过利用辅助功能，恶意软件会自动为其自身获取额外的权限。这使得 MMRat 能够在受感染的设备上执行各种有害活动。

一旦 MMRat 获得对 Android 设备的访问权限，它就会与 C2 服务器建立通信，并监控设备空闲期间的活动。在此期间，攻击者利用辅助服务远程唤醒设备、解锁设备并进行实时银行欺诈。

MMRat 的主要功能包括收集网络、屏幕和电池数据、窃取用户联系人和应用程序列表、通过键盘记录捕获用户输入、通过 MediaProjection API 获取实时屏幕内容、记录和直播摄像头数据、以文本形式转储屏幕数据形式发送到 C2 服务器，并最终卸载自身以消除感染痕迹。

MMRat 高效的数据传输对于其捕获实时屏幕内容并从“用户终端状态”中提取文本数据的能力至关重要。为了实现有效的银行欺诈，恶意软件的作者设计了一个自定义的 Protobuf 协议来进行数据泄露。

MMRat 采用独特的命令和控制 (C2) 服务器协议，利用所谓的协议缓冲区 (Protobuf) 来促进简化的数据传输，这在 Android 木马领域是罕见的。 Protobuf 是 Google 开发的一种数据序列化技术，其功能与 XML 和 JSON 类似，但占用空间更小、速度更快。

MMRat 使用各种端口和协议与 C2 交互。其中包括用于数据泄露的端口 8080 上的 HTTP、用于视频流的 RTSP 和端口 8554，以及用于命令和控制的端口 8887 上的个性化 Protobuf 实现。

C&C协议的独特之处在于它是针对网络应用框架Netty和前面提到的Protobuf进行定制的。这还包含结构良好的消息。在 C&C 通信中，威胁行为者采用综合结构来体现所有消息类型，并使用“oneof”关键字来表示不同的数据类别。

除了 Protobuf 的效率之外，自定义协议的使用还可以增强对网络安全工具的规避，这些工具通常可以识别已知威胁的可识别模式。由于 Protobuf 的多功能性，MMRat 的创建者可以自由地定义其消息结构并规范数据传输方法。同时，其系统设计保证发送的数据遵循预定义的设计，减少接收时损坏的可能性。

MMRat 移动威胁展示了 Android 银行木马不断演变的复杂性，网络犯罪分子巧妙地将谨慎的操作与有效的数据检索技术结合起来。

搜索