MMRat Mobile Malware er rettet mod Android-enheder

En Android-banktrojan kaldet MMRat, som ikke tidligere var blevet identificeret, er blevet opdaget i Sydøstasien siden slutningen af juni 2023. Denne trojan, opkaldt efter sit unikke pakkenavn "com.mm.user", er designet til at målrette mod mobilbrugere i regionen. Dens primære mål er at tage kontrol over mobile enheder på afstand og engagere sig i økonomisk bedrageri.

Den ondsindede software er i stand til at fange brugerinput og skærmindhold. Desuden anvender den forskellige teknikker til at kontrollere kompromitterede enheder på afstand. Dette giver angriberne mulighed for at udføre svigagtige aktiviteter relateret til bankvirksomhed på ofrets enhed. Sikkerhedsfirmaet Trend Micro har fremhævet MMRat's karakteristiske træk: dets brug af en skræddersyet kommando-og-kontrol (C2) protokol baseret på protokolbuffere (protobuf). Denne specialiserede tilgang muliggør effektiv overførsel af betydelige mængder data fra kompromitterede smartphones, hvilket viser den stigende kompleksitet af Android-malware.

Malwarens sandsynlige mål omfatter Indonesien, Vietnam, Singapore og Filippinerne, baseret på det sprog, der bruges på phishing-siderne. Angrebene begynder med, at brugere bliver dirigeret til phishing-websteder, der ligner officielle app-butikker, selvom metoden til at dirigere ofre til disse websteder er ukendt i øjeblikket. MMRat forklæder sig normalt som en legitim regeringsapp eller en datingapplikation.

Når den er installeret med succes, er trojaneren stærkt afhængig af Android-tilgængelighedstjenesten og MediaProjection API. Disse komponenter, også brugt af en anden Android finanstrojan kaldet SpyNote, gør det muligt for MMRat at udføre sine ondsindede aktiviteter. Malwaren udnytter sine tilgængelighedstilladelser til at give sig selv yderligere tilladelser og ændre enhedsindstillinger.

MMRats funktionsmåde

MMRat er programmeret til at etablere persistens og sikre dens overlevelse gennem genstart af enheden. Den kommunikerer med en ekstern server for at afvente kommandoer og sende resultaterne af udførte kommandoer tilbage. Trojanen anvender forskellige kombinationer af porte og protokoller til funktioner som dataudtræk, videostreaming og kommando-og-kontrol-operationer.

Trojaneren besidder evnen til at indsamle omfattende enhedsoplysninger og personlige data. Dette inkluderer detaljer som signalstyrke, skærmstatus, batteristatistik, installerede apps og kontaktlister. Det er mistanke om, at trusselsaktøren bag MMRat bruger denne information til offerprofilering, før han fortsætter til næste fase af angrebet.

Blandt dets funktionaliteter kan MMRat optage skærmindhold i realtid og fange låseskærmsmønstre. Dette letter fjernadgang for trusselsaktører, selv når enheden er låst og inaktiv.

Angrebene udført af MMRat kulminerer i, at trojaneren sletter sig selv efter at have modtaget en specifik C2-kommando ("UNINSTALL_APP"). Dette sker typisk efter en vellykket svigagtig transaktion, hvilket effektivt eliminerer alle spor af trojaneren fra den inficerede enhed.