Az MMRat Mobile Malware Android-eszközöket célozza meg
Délkelet-Ázsiában 2023 júniusának vége óta észleltek egy MMRat néven emlegetett Android banki trójai programot, amelyet korábban nem azonosítottak. Ez a trójai, amely egyedi csomagnevéről kapta a nevét, a „com.mm.user” mobilfelhasználókat célozza meg. a régióban. Elsődleges célja, hogy távolról átvegye az irányítást a mobileszközök felett, és pénzügyi csalásban vegyen részt.
A rosszindulatú szoftver képes rögzíteni a felhasználói bemeneteket és a képernyő tartalmát. Ezenkívül különféle technikákat alkalmaz a kompromittált eszközök távolról történő vezérlésére. Ez lehetővé teszi a támadók számára, hogy az áldozat eszközén banki tevékenységgel kapcsolatos csalárd tevékenységeket hajtsanak végre. A Trend Micro biztonsági cég kiemelte az MMRat megkülönböztető jellemzőjét: a protokollpuffereken (protobuf) alapuló testreszabott parancs- és vezérlési (C2) protokollt. Ez a speciális megközelítés lehetővé teszi jelentős mennyiségű adat hatékony átvitelét a feltört okostelefonokról, bemutatva az Android rosszindulatú programjainak egyre összetettebbé válását.
Az adathalász oldalakon használt nyelv alapján a kártevő valószínűleg Indonéziát, Vietnamot, Szingapúrt és a Fülöp-szigeteket célozza meg. A támadások azzal kezdődnek, hogy a felhasználókat hivatalos alkalmazásboltokhoz hasonló adathalász oldalakra irányítják, bár az áldozatok ezekre az oldalakra való irányításának módja jelenleg nem ismert. Az MMRat általában legitim kormányzati alkalmazásnak vagy társkereső alkalmazásnak álcázza magát.
A sikeres telepítést követően a trójai nagymértékben támaszkodik az Android kisegítő lehetőségekre és a MediaProjection API-ra. Ezek az összetevők, amelyeket egy másik Android pénzügyi trójai, a SpyNote is használ, lehetővé teszik az MMRat számára, hogy végrehajtsa rosszindulatú tevékenységeit. A rosszindulatú program kihasználja a kisegítő lehetőségeket, hogy további engedélyeket adjon magának, és módosítsa az eszközbeállításokat.
Az MMRat működési módja
Az MMRat úgy van programozva, hogy biztosítsa a tartósságot, biztosítva a túlélést az eszköz újraindításával. Kommunikál egy távoli szerverrel, hogy várja a parancsokat, és visszaküldje a végrehajtott parancsok eredményét. A trójai portok és protokollok különféle kombinációit alkalmazza olyan funkciókhoz, mint az adatkinyerés, a videó streaming és a parancs- és vezérlési műveletek.
A trójai kiterjedt eszközinformációkat és személyes adatokat gyűjthet össze. Ez olyan részleteket tartalmaz, mint a jelerősség, a képernyő állapota, az akkumulátor statisztikái, a telepített alkalmazások és a névjegyzék. Feltételezhető, hogy az MMRat mögött álló fenyegetés szereplője ezeket az információkat az áldozatok profilalkotására használja fel, mielőtt a támadás következő szakaszába lépne.
Funkciói között az MMRat valós idejű képernyőtartalmat rögzíthet, és rögzítheti a lezárási képernyő mintáit. Ez megkönnyíti a fenyegetés szereplői számára a távoli hozzáférést még akkor is, ha az eszköz zárolt és inaktív.
Az MMRat által végrehajtott támadások abban csúcsosodnak ki, hogy a trójai egy adott C2 parancs ("UNINSTALL_APP") vételekor törli magát. Ez általában egy sikeres csalárd tranzakció után következik be, hatékonyan eltávolítva a trójai minden nyomát a fertőzött eszközről.