Le logiciel malveillant MMRat Mobile cible les appareils Android
Un cheval de Troie bancaire Android appelé MMRat, qui n'avait pas été identifié auparavant, a été détecté en Asie du Sud-Est depuis fin juin 2023. Ce cheval de Troie, nommé d'après son nom de package unique « com.mm.user », est conçu pour cibler les utilisateurs mobiles. dans la région. Son objectif principal est de prendre le contrôle des appareils mobiles à distance et de se livrer à des fraudes financières.
Le logiciel malveillant est capable de capturer les entrées des utilisateurs et le contenu de l'écran. De plus, il utilise diverses techniques pour contrôler à distance les appareils compromis. Cela permet aux attaquants de mener des activités frauduleuses liées aux opérations bancaires sur l'appareil de la victime. La société de sécurité Trend Micro a mis en évidence la particularité de MMRat : son utilisation d'un protocole de commande et de contrôle (C2) sur mesure basé sur des tampons de protocole (protobuf). Cette approche spécialisée permet le transfert efficace de quantités substantielles de données à partir de smartphones compromis, démontrant la complexité croissante des logiciels malveillants Android.
Les cibles probables du malware incluent l'Indonésie, le Vietnam, Singapour et les Philippines, sur la base du langage utilisé dans les pages de phishing. Les attaques commencent lorsque les utilisateurs sont dirigés vers des sites de phishing ressemblant à des magasins d'applications officiels, bien que la méthode permettant de diriger les victimes vers ces sites soit actuellement inconnue. MMRat se déguise généralement en application gouvernementale légitime ou en application de rencontres.
Une fois installé avec succès, le cheval de Troie s'appuie fortement sur le service d'accessibilité Android et l'API MediaProjection. Ces composants, également utilisés par un autre cheval de Troie financier Android appelé SpyNote, permettent à MMRat d'exécuter ses activités malveillantes. Le malware exploite ses autorisations d’accessibilité pour s’accorder des autorisations supplémentaires et modifier les paramètres de l’appareil.
Mode de fonctionnement de MMRat
MMRat est programmé pour établir la persistance, assurant sa survie grâce au redémarrage de l'appareil. Il communique avec un serveur distant pour attendre les commandes et renvoyer les résultats des commandes exécutées. Le cheval de Troie utilise diverses combinaisons de ports et de protocoles pour des fonctions telles que l'extraction de données, le streaming vidéo et les opérations de commande et de contrôle.
Le cheval de Troie possède la capacité de collecter des informations détaillées sur les appareils et des données personnelles. Cela inclut des détails tels que la force du signal, l'état de l'écran, les statistiques de la batterie, les applications installées et les listes de contacts. On soupçonne que l'acteur menaçant derrière MMRat utilise ces informations pour établir le profil des victimes avant de passer à l'étape suivante de l'attaque.
Parmi ses fonctionnalités, MMRat peut enregistrer le contenu de l'écran en temps réel et capturer les modèles d'écran de verrouillage. Cela facilite l'accès à distance pour les acteurs malveillants, même lorsque l'appareil est verrouillé et inactif.
Les attaques menées par MMRat aboutissent à la suppression du cheval de Troie à la réception d'une commande C2 spécifique ("UNINSTALL_APP"). Cela se produit généralement après une transaction frauduleuse réussie, éliminant ainsi toute trace du cheval de Troie de l'appareil infecté.
