MMRat Mobile Malware zielt auf Android-Geräte ab

Seit Ende Juni 2023 wurde in Südostasien ein bisher nicht identifizierter Android-Banking-Trojaner namens MMRat entdeckt. Dieser nach seinem eindeutigen Paketnamen „com.mm.user“ benannte Trojaner richtet sich an mobile Nutzer in der Region. Ihr Hauptziel besteht darin, die Kontrolle über mobile Geräte aus der Ferne zu übernehmen und Finanzbetrug zu begehen.

Die Schadsoftware ist in der Lage, Benutzereingaben und Bildschirminhalte abzufangen. Darüber hinaus werden verschiedene Techniken eingesetzt, um kompromittierte Geräte aus der Ferne zu steuern. Dies ermöglicht es den Angreifern, betrügerische Aktivitäten im Zusammenhang mit Bankgeschäften auf dem Gerät des Opfers durchzuführen. Das Sicherheitsunternehmen Trend Micro hat die Besonderheit von MMRat hervorgehoben: die Verwendung eines maßgeschneiderten Command-and-Control-Protokolls (C2), das auf Protokollpuffern (Protobuf) basiert. Dieser spezielle Ansatz ermöglicht die effiziente Übertragung erheblicher Datenmengen von kompromittierten Smartphones und verdeutlicht die zunehmende Komplexität von Android-Malware.

Zu den wahrscheinlichen Zielen der Malware gehören Indonesien, Vietnam, Singapur und die Philippinen, basierend auf der auf den Phishing-Seiten verwendeten Sprache. Die Angriffe beginnen damit, dass Benutzer auf Phishing-Websites weitergeleitet werden, die offiziellen App-Stores ähneln. Die Methode, mit der die Opfer auf diese Websites weitergeleitet werden, ist derzeit jedoch unbekannt. MMRat tarnt sich häufig als legitime Regierungs-App oder Dating-Anwendung.

Nach erfolgreicher Installation ist der Trojaner stark auf den Android-Eingabehilfedienst und die MediaProjection-API angewiesen. Diese Komponenten, die auch von einem anderen Android-Finanztrojaner namens SpyNote genutzt werden, ermöglichen es MMRat, seine bösartigen Aktivitäten auszuführen. Die Malware nutzt ihre Zugriffsberechtigungen aus, um sich selbst zusätzliche Berechtigungen zu erteilen und Geräteeinstellungen zu ändern.

Die Funktionsweise von MMRat

MMRat ist so programmiert, dass es eine Persistenz aufbaut und so sein Überleben auch nach Geräteneustarts sicherstellt. Es kommuniziert mit einem Remote-Server, um auf Befehle zu warten und die Ergebnisse ausgeführter Befehle zurückzusenden. Der Trojaner nutzt verschiedene Kombinationen von Ports und Protokollen für Funktionen wie Datenextraktion, Video-Streaming und Befehls- und Kontrollvorgänge.

Der Trojaner verfügt über die Fähigkeit, umfangreiche Geräteinformationen und persönliche Daten zu sammeln. Dazu gehören Details wie Signalstärke, Bildschirmstatus, Akkustatistiken, installierte Apps und Kontaktlisten. Es wird vermutet, dass der Bedrohungsakteur hinter MMRat diese Informationen zur Profilerstellung des Opfers nutzt, bevor er mit der nächsten Phase des Angriffs fortfährt.

Zu den Funktionen von MMRat gehört die Aufzeichnung von Bildschirminhalten in Echtzeit und die Erfassung von Sperrbildschirmmustern. Dies erleichtert Bedrohungsakteuren den Fernzugriff, selbst wenn das Gerät gesperrt und inaktiv ist.

Die von MMRat durchgeführten Angriffe gipfeln darin, dass sich der Trojaner nach Erhalt eines bestimmten C2-Befehls („UNINSTALL_APP“) selbst löscht. Dies geschieht typischerweise nach einer erfolgreichen betrügerischen Transaktion, wodurch alle Spuren des Trojaners effektiv vom infizierten Gerät entfernt werden.