El malware móvil MMRat se dirige a dispositivos Android
Desde finales de junio de 2023 se ha detectado en el sudeste asiático un troyano bancario para Android denominado MMRat, que no había sido identificado previamente. Este troyano, que lleva el nombre de su paquete exclusivo "com.mm.user", está diseñado para usuarios de dispositivos móviles. en la región. Su objetivo principal es tomar el control de dispositivos móviles de forma remota y participar en fraude financiero.
El software malicioso es capaz de capturar las entradas del usuario y el contenido de la pantalla. Además, emplea varias técnicas para controlar los dispositivos comprometidos a distancia. Esto permite a los atacantes realizar actividades fraudulentas relacionadas con la banca en el dispositivo de la víctima. La empresa de seguridad Trend Micro ha destacado la característica distintiva de MMRat: su utilización de un protocolo de comando y control (C2) personalizado basado en buffers de protocolo (protobuf). Este enfoque especializado permite la transferencia eficiente de cantidades sustanciales de datos desde teléfonos inteligentes comprometidos, lo que muestra la creciente complejidad del malware de Android.
Los posibles objetivos del malware incluyen Indonesia, Vietnam, Singapur y Filipinas, según el lenguaje utilizado en las páginas de phishing. Los ataques comienzan dirigiendo a los usuarios a sitios de phishing que se asemejan a tiendas de aplicaciones oficiales, aunque actualmente se desconoce el método para dirigir a las víctimas a estos sitios. MMRat comúnmente se disfraza como una aplicación gubernamental legítima o una aplicación de citas.
Una vez instalado correctamente, el troyano depende en gran medida del servicio de accesibilidad de Android y de la API MediaProjection. Estos componentes, también utilizados por otro troyano financiero de Android llamado SpyNote, permiten a MMRat ejecutar sus actividades maliciosas. El malware explota sus permisos de accesibilidad para otorgarse permisos adicionales y modificar la configuración del dispositivo.
Modo de operación de MMRat
MMRat está programado para establecer persistencia, asegurando su supervivencia mediante reinicios del dispositivo. Se comunica con un servidor remoto para esperar comandos y enviar los resultados de los comandos ejecutados. El troyano emplea varias combinaciones de puertos y protocolos para funciones como extracción de datos, transmisión de vídeo y operaciones de comando y control.
El troyano posee la capacidad de recopilar amplia información del dispositivo y datos personales. Esto incluye detalles como intensidad de la señal, estado de la pantalla, estadísticas de la batería, aplicaciones instaladas y listas de contactos. Se sospecha que el actor de amenazas detrás de MMRat emplea esta información para crear perfiles de víctimas antes de pasar a la siguiente etapa del ataque.
Entre sus funcionalidades, MMRat puede grabar contenido de pantalla en tiempo real y capturar patrones de pantalla de bloqueo. Esto facilita el acceso remoto a los actores de amenazas incluso cuando el dispositivo está bloqueado e inactivo.
Los ataques llevados a cabo por MMRat culminan con la eliminación del troyano al recibir un comando C2 específico ("UNINSTALL_APP"). Esto suele ocurrir después de una transacción fraudulenta exitosa, eliminando efectivamente todos los rastros del troyano del dispositivo infectado.
