Android デバイスをターゲットとする MMRat モバイル マルウェア

これまで確認されていなかった MMRat と呼ばれる Android バンキング トロイの木馬が、2023 年 6 月下旬から東南アジアで検出されました。このトロイの木馬は、その固有のパッケージ名「com.mm.user」にちなんで名付けられ、モバイル ユーザーをターゲットにするように設計されています。地域の。その主な目的は、モバイルデバイスをリモートで制御し、金融詐欺を行うことです。

この悪意のあるソフトウェアは、ユーザー入力と画面コンテンツをキャプチャすることができます。さらに、侵害されたデバイスを遠隔から制御するためにさまざまな技術が採用されています。これにより、攻撃者は被害者のデバイス上でバンキングに関連した不正行為を実行できるようになります。セキュリティ企業のトレンドマイクロは、MMRat の特徴的な機能、つまりプロトコル バッファー (protobuf) に基づいてカスタマイズされたコマンド アンド コントロール (C2) プロトコルを利用していることを強調しました。この特殊なアプローチにより、侵害されたスマートフォンから大量のデータを効率的に転送できるようになり、Android マルウェアの複雑さが増していることがわかります。

フィッシング ページで使用されている言語に基づいて、マルウェアのターゲットとして考えられるのは、インドネシア、ベトナム、シンガポール、フィリピンです。この攻撃は、ユーザーを公式アプリ ストアに似たフィッシング サイトに誘導することから始まりますが、被害者をこれらのサイトに誘導する方法は現時点では不明です。 MMRat は通常、正規の政府アプリまたは出会い系アプリを装います。

このトロイの木馬は、インストールに成功すると、Android アクセシビリティ サービスと MediaProjection API に大きく依存します。これらのコンポーネントは、SpyNote と呼ばれる別の Android 金融トロイの木馬でも利用されており、MMRat が悪意のある活動を実行できるようになります。マルウェアは、そのアクセシビリティ権限を悪用して、それ自体に追加の権限を付与し、デバイス設定を変更します。

MMRat の動作モード

MMRat は永続性を確立するようにプログラムされており、デバイスの再起動を通じて確実に存続します。リモート サーバーと通信してコマンドを待機し、実行されたコマンドの結果を送り返します。このトロイの木馬は、データ抽出、ビデオ ストリーミング、コマンド アンド コントロール操作などの機能にポートとプロトコルのさまざまな組み合わせを使用します。

このトロイの木馬は、広範なデバイス情報と個人データを収集する機能を備えています。これには、信号強度、画面ステータス、バッテリー統計、インストールされているアプリ、連絡先リストなどの詳細が含まれます。 MMRat の背後にいる攻撃者は、攻撃の次の段階に進む前に、被害者のプロファイリングにこの情報を利用しているのではないかと考えられています。

MMRat の機能の中には、リアルタイムの画面コンテンツを記録したり、ロック画面のパターンをキャプチャしたりすることができます。これにより、デバイスがロックされて非アクティブな場合でも、脅威アクターのリモート アクセスが容易になります。

MMRat によって実行される攻撃は、特定の C2 コマンド (「UNINSTALL_APP」) を受信するとトロイの木馬自体を削除することで最高潮に達します。これは通常、不正なトランザクションが成功した後に発生し、感染したデバイスからトロイの木馬の痕跡をすべて事実上排除します。