Il malware mobile MMRat prende di mira i dispositivi Android
Un trojan bancario Android denominato MMRat, che non era stato precedentemente identificato, è stato rilevato nel sud-est asiatico dalla fine di giugno 2023. Questo trojan, che prende il nome dal nome univoco del pacchetto "com.mm.user", è progettato per prendere di mira gli utenti mobili nella regione. Il suo obiettivo principale è assumere il controllo dei dispositivi mobili da remoto e commettere frodi finanziarie.
Il software dannoso è in grado di acquisire gli input dell'utente e il contenuto dello schermo. Inoltre, utilizza varie tecniche per controllare a distanza i dispositivi compromessi. Ciò consente agli aggressori di condurre attività fraudolente relative alle operazioni bancarie sul dispositivo della vittima. La società di sicurezza Trend Micro ha evidenziato la caratteristica distintiva di MMRat: l'utilizzo di un protocollo di comando e controllo (C2) su misura basato su buffer di protocollo (protobuf). Questo approccio specializzato consente il trasferimento efficiente di notevoli quantità di dati dagli smartphone compromessi, dimostrando la crescente complessità del malware Android.
I probabili obiettivi del malware includono Indonesia, Vietnam, Singapore e Filippine, in base al linguaggio utilizzato nelle pagine di phishing. Gli attacchi iniziano con l'indirizzamento degli utenti verso siti di phishing simili agli app store ufficiali, sebbene il metodo con cui indirizzare le vittime verso questi siti sia attualmente sconosciuto. MMRat comunemente si maschera da app governativa legittima o da applicazione di appuntamenti.
Una volta installato con successo, il trojan fa molto affidamento sul servizio di accessibilità Android e sull'API MediaProjection. Questi componenti, utilizzati anche da un altro trojan finanziario Android chiamato SpyNote, consentono a MMRat di eseguire le sue attività dannose. Il malware sfrutta le proprie autorizzazioni di accessibilità per concedere autorizzazioni aggiuntive a se stesso e modificare le impostazioni del dispositivo.
Modalità di funzionamento di MMRat
MMRat è programmato per stabilire la persistenza, garantendo la sua sopravvivenza attraverso il riavvio del dispositivo. Comunica con un server remoto per attendere i comandi e inviare i risultati dei comandi eseguiti. Il trojan utilizza varie combinazioni di porte e protocolli per funzioni quali estrazione dati, streaming video e operazioni di comando e controllo.
Il trojan possiede la capacità di raccogliere ampie informazioni sul dispositivo e dati personali. Ciò include dettagli come potenza del segnale, stato dello schermo, statistiche della batteria, app installate ed elenchi di contatti. Si sospetta che l'autore della minaccia dietro MMRat utilizzi queste informazioni per la profilazione delle vittime prima di procedere alla fase successiva dell'attacco.
Tra le sue funzionalità, MMRat può registrare il contenuto dello schermo in tempo reale e acquisire modelli di schermata di blocco. Ciò facilita l'accesso remoto da parte degli autori delle minacce anche quando il dispositivo è bloccato e inattivo.
Gli attacchi portati avanti da MMRat culminano con la cancellazione del trojan dopo aver ricevuto uno specifico comando C2 ("UNINSTALL_APP"). Ciò si verifica in genere dopo una transazione fraudolenta andata a buon fine, eliminando di fatto tutte le tracce del trojan dal dispositivo infetto.
