MMRat 移動惡意軟件

翻譯為：

一種名為 MMRat 的新興 Android 銀行惡意軟件採用了一種不常見的通信技術，稱為 protobuf 數據序列化。這種方法提高了惡意軟件從受感染設備提取信息的效率。

MMRat 於 2023 年 6 月由網絡安全專家發現，主要針對東南亞用戶。儘管該惡意軟件最初傳播給潛在受害者的確切方法仍然未知，但研究人員已發現 MMRat 通過冒充合法應用商店的網站進行傳播。

毫無戒心的受害者會下載並安裝攜帶 MMRat 惡意軟件的欺詐應用程序。通常，這些應用程序會冒充政府應用程序或約會平台。隨後，在安裝過程中，應用程序會請求接收必要的權限，包括訪問 Android 的輔助功能服務。

通過利用輔助功能，惡意軟件會自動為其自身獲取額外的權限。這使得 MMRat 能夠在受感染的設備上執行各種有害活動。

一旦 MMRat 獲得對 Android 設備的訪問權限，它就會與 C2 服務器建立通信，並監控設備空閒期間的活動。在此期間，攻擊者利用輔助服務遠程喚醒設備、解鎖設備並進行實時銀行欺詐。

MMRat 的主要功能包括收集網絡、屏幕和電池數據，竊取用戶聯繫人和應用程序列表，通過鍵盤記錄捕獲用戶輸入，通過 MediaProjection API 捕獲實時屏幕內容，記錄和直播攝像頭數據，以文本形式轉儲屏幕數據形式發送到C2 服務器，並最終卸載自身以消除感染痕跡。

MMRat 高效的數據傳輸對於其捕獲實時屏幕內容並從“用戶終端狀態”中提取文本數據的能力至關重要。為了實現有效的銀行欺詐，惡意軟件的作者設計了一個自定義的 Protobuf 協議來進行數據洩露。

MMRat 採用獨特的命令和控制 (C2) 服務器協議，利用所謂的協議緩衝區 (Protobuf) 來促進簡化的數據傳輸，這在 Android 木馬領域是罕見的。 Protobuf 是 Google 開發的一種數據序列化技術，其功能與 XML 和 JSON 類似，但佔用空間更小、速度更快。

MMRat 使用各種端口和協議與 C2 交互。其中包括用於數據洩露的端口 8080 上的 HTTP、用於視頻流的 RTSP 和端口 8554，以及用於命令和控制的端口 8887 上的個性化 Protobuf 實現。

C&C協議的獨特之處在於它是針對網絡應用框架Netty和前面提到的Protobuf進行定制的。這還包含結構良好的消息。在 C&C 通信中，威脅行為者採用綜合結構來體現所有消息類型，並使用“oneof”關鍵字來表示不同的數據類別。

除了 Protobuf 的效率之外，自定義協議的使用還可以增強對網絡安全工具的規避，這些工具通常可以識別已知威脅的可識別模式。由於 Protobuf 的多功能性，MMRat 的創建者可以自由地定義其消息結構並規範數據傳輸方法。同時，其係統設計保證發送的數據遵循預定義的設計，減少接收時損壞的可能性。

MMRat 移動威脅展示了 Android 銀行木馬不斷演變的複雜性，網絡犯罪分子巧妙地將謹慎的操作與有效的數據檢索技術結合起來。

搜索