MMRat Mobile kenkėjiška programa skirta „Android“ įrenginiams
Nuo 2023 m. birželio pabaigos Pietryčių Azijoje aptiktas Android bankininkystės Trojos arklys, vadinamas MMRat, kuris anksčiau nebuvo identifikuotas. Šis Trojos arklys, pavadintas pagal unikalų paketo pavadinimą „com.mm.user“, skirtas mobiliųjų įrenginių naudotojams. regione. Pagrindinis jos tikslas – nuotoliniu būdu perimti mobiliųjų įrenginių valdymą ir užsiimti finansiniu sukčiavimu.
Kenkėjiška programinė įranga gali užfiksuoti vartotojo įvestį ir ekrano turinį. Be to, jame naudojami įvairūs būdai valdyti pažeistus įrenginius per atstumą. Tai leidžia užpuolikams aukos įrenginyje vykdyti nesąžiningą veiklą, susijusią su bankininkyste. Apsaugos įmonė „Trend Micro“ pabrėžė išskirtinį MMRat bruožą: jame naudojamas pritaikytas komandų ir valdymo (C2) protokolas, pagrįstas protokolo buferiais (protobuf). Šis specializuotas metodas leidžia efektyviai perkelti didelius duomenų kiekius iš pažeistų išmaniųjų telefonų, o tai rodo, kad Android kenkėjiškos programos tampa vis sudėtingesnės.
Tikėtini kenkėjiškų programų taikiniai yra Indonezija, Vietnamas, Singapūras ir Filipinai, atsižvelgiant į sukčiavimo puslapiuose vartojamą kalbą. Išpuoliai prasideda nuo naudotojų nukreipimo į sukčiavimo svetaines, panašias į oficialias programų parduotuves, nors aukų nukreipimo į šias svetaines būdas šiuo metu nežinomas. MMRat dažniausiai maskuojasi kaip teisėta vyriausybės programa arba pažinčių programa.
Sėkmingai įdiegtas Trojos arklys labai priklauso nuo „Android“ pritaikymo neįgaliesiems paslaugos ir „MediaProjection“ API. Šie komponentai, kuriuos taip pat naudoja kitas Android finansinis Trojos arklys, vadinamas SpyNote, leidžia MMRat vykdyti savo kenkėjišką veiklą. Kenkėjiška programa išnaudoja savo pasiekiamumo leidimus, kad suteiktų sau papildomų leidimų ir pakeistų įrenginio nustatymus.
MMRat veikimo būdas
MMRat yra užprogramuotas taip, kad užtikrintų patvarumą, užtikrinant jo išlikimą perkraunant įrenginį. Jis bendrauja su nuotoliniu serveriu, kad lauktų komandų ir atsiųstų įvykdytų komandų rezultatus. Trojos arklys naudoja įvairius prievadų ir protokolų derinius tokioms funkcijoms kaip duomenų išgavimas, vaizdo transliacija ir komandų bei valdymo operacijos.
Trojos arklys turi galimybę rinkti didelę įrenginio informaciją ir asmeninius duomenis. Tai apima tokią informaciją kaip signalo stiprumas, ekrano būsena, akumuliatoriaus statistika, įdiegtos programos ir kontaktų sąrašai. Įtariama, kad MMRat grėsmės veikėjas naudoja šią informaciją aukos profiliavimui prieš pereidamas į kitą atakos etapą.
Tarp savo funkcijų MMRat gali įrašyti ekrano turinį realiuoju laiku ir užfiksuoti užrakinimo ekrano šablonus. Tai palengvina grėsmės subjektų nuotolinę prieigą net tada, kai įrenginys užrakintas ir neaktyvus.
MMRat vykdomos atakos baigiasi tuo, kad Trojos arklys išsitrina gavęs konkrečią C2 komandą („UNINSTALL_APP“). Tai paprastai įvyksta po sėkmingo apgaulingo sandorio, veiksmingai pašalinant visus Trojos arklys pėdsakus iš užkrėsto įrenginio.
