Το κακόβουλο λογισμικό MMRat για κινητά στοχεύει συσκευές Android

Ένας τραπεζικός trojan Android που αναφέρεται ως MMRat, ο οποίος δεν είχε εντοπιστεί προηγουμένως, έχει εντοπιστεί στη Νοτιοανατολική Ασία από τα τέλη Ιουνίου 2023. Αυτός ο trojan, που πήρε το όνομά του από το μοναδικό του όνομα πακέτου "com.mm.user", έχει σχεδιαστεί για να στοχεύει χρήστες κινητών στην περιοχή. Ο πρωταρχικός του στόχος είναι να αναλάβει τον έλεγχο των κινητών συσκευών εξ αποστάσεως και να εμπλέκεται σε χρηματοοικονομική απάτη.

Το κακόβουλο λογισμικό είναι σε θέση να καταγράφει εισόδους χρήστη και περιεχόμενο οθόνης. Επιπλέον, χρησιμοποιεί διάφορες τεχνικές για τον έλεγχο των παραβιασμένων συσκευών από απόσταση. Αυτό επιτρέπει στους εισβολείς να διεξάγουν δόλιες δραστηριότητες που σχετίζονται με τραπεζικές συναλλαγές στη συσκευή του θύματος. Η εταιρεία ασφαλείας Trend Micro έχει επισημάνει το ιδιαίτερο χαρακτηριστικό του MMRat: τη χρήση ενός προσαρμοσμένου πρωτοκόλλου εντολής και ελέγχου (C2) που βασίζεται σε buffer πρωτοκόλλου (protobuf). Αυτή η εξειδικευμένη προσέγγιση επιτρέπει την αποτελεσματική μεταφορά σημαντικών ποσοτήτων δεδομένων από παραβιασμένα smartphone, επιδεικνύοντας την αυξανόμενη πολυπλοκότητα του κακόβουλου λογισμικού Android.

Οι πιθανοί στόχοι του κακόβουλου λογισμικού περιλαμβάνουν την Ινδονησία, το Βιετνάμ, τη Σιγκαπούρη και τις Φιλιππίνες, με βάση τη γλώσσα που χρησιμοποιείται στις σελίδες phishing. Οι επιθέσεις ξεκινούν με τους χρήστες να κατευθύνονται σε ιστότοπους phishing που μοιάζουν με επίσημα καταστήματα εφαρμογών, αν και η μέθοδος κατεύθυνσης των θυμάτων σε αυτούς τους ιστότοπους είναι προς το παρόν άγνωστη. Το MMRat συνήθως μεταμφιέζεται ως μια νόμιμη κυβερνητική εφαρμογή ή μια εφαρμογή γνωριμιών.

Μόλις εγκατασταθεί επιτυχώς, το trojan βασίζεται σε μεγάλο βαθμό στην υπηρεσία προσβασιμότητας Android και στο MediaProjection API. Αυτά τα στοιχεία, που χρησιμοποιούνται επίσης από ένα άλλο οικονομικό Trojan Android που ονομάζεται SpyNote, επιτρέπουν στο MMRat να εκτελεί τις κακόβουλες δραστηριότητές του. Το κακόβουλο λογισμικό εκμεταλλεύεται τα δικαιώματα προσβασιμότητας του για να εκχωρήσει πρόσθετα δικαιώματα στον εαυτό του και να τροποποιήσει τις ρυθμίσεις της συσκευής.

Τρόπος λειτουργίας του MMRat

Το MMRat είναι προγραμματισμένο να δημιουργεί επιμονή, διασφαλίζοντας την επιβίωσή του μέσω επανεκκίνησης συσκευών. Επικοινωνεί με έναν απομακρυσμένο διακομιστή για να αναμένει εντολές και να στέλνει πίσω τα αποτελέσματα των εκτελεσμένων εντολών. Το trojan χρησιμοποιεί διάφορους συνδυασμούς θυρών και πρωτοκόλλων για λειτουργίες όπως εξαγωγή δεδομένων, ροή βίντεο και λειτουργίες εντολών και ελέγχου.

Το trojan διαθέτει τη δυνατότητα να συλλέγει εκτενείς πληροφορίες συσκευής και προσωπικά δεδομένα. Αυτό περιλαμβάνει λεπτομέρειες όπως ισχύς σήματος, κατάσταση οθόνης, στατιστικά στοιχεία μπαταρίας, εγκατεστημένες εφαρμογές και λίστες επαφών. Υπάρχει υποψία ότι ο παράγοντας απειλής πίσω από το MMRat χρησιμοποιεί αυτές τις πληροφορίες για τη δημιουργία προφίλ θυμάτων πριν προχωρήσει στο επόμενο στάδιο της επίθεσης.

Μεταξύ των λειτουργιών του, το MMRat μπορεί να καταγράφει περιεχόμενο οθόνης σε πραγματικό χρόνο και να καταγράφει μοτίβα οθόνης κλειδώματος. Αυτό διευκολύνει την απομακρυσμένη πρόσβαση για τους παράγοντες απειλών, ακόμη και όταν η συσκευή είναι κλειδωμένη και ανενεργή.

Οι επιθέσεις που εκτελούνται από το MMRat κορυφώνονται με τη διαγραφή του trojan όταν λάβει μια συγκεκριμένη εντολή C2 ("UNINSTALL_APP"). Αυτό συμβαίνει συνήθως μετά από μια επιτυχημένη δόλια συναλλαγή, εξαλείφοντας ουσιαστικά όλα τα ίχνη του trojan από τη μολυσμένη συσκευή.