MMRat Mobile Malware retter seg mot Android-enheter

En Android-banktrojaner referert til som MMRat, som ikke tidligere var identifisert, har blitt oppdaget i Sørøst-Asia siden slutten av juni 2023. Denne trojaneren, oppkalt etter det unike pakkenavnet "com.mm.user", er designet for å målrette mot mobilbrukere i området. Hovedmålet er å ta kontroll over mobile enheter eksternt og engasjere seg i økonomisk svindel.

Den ondsinnede programvaren er i stand til å fange brukerinndata og skjerminnhold. Dessuten bruker den ulike teknikker for å kontrollere kompromitterte enheter på avstand. Dette gjør at angriperne kan utføre uredelige aktiviteter knyttet til banktjenester på offerets enhet. Sikkerhetsselskapet Trend Micro har fremhevet det særegne ved MMRat: dets bruk av en skreddersydd kommando-og-kontroll (C2)-protokoll basert på protokollbuffere (protobuf). Denne spesialiserte tilnærmingen muliggjør effektiv overføring av betydelige mengder data fra kompromitterte smarttelefoner, og viser den økende kompleksiteten til Android-skadevare.

Skadevarens sannsynlige mål inkluderer Indonesia, Vietnam, Singapore og Filippinene, basert på språket som brukes på phishing-sidene. Angrepene begynner med at brukere blir dirigert til phishing-sider som ligner offisielle app-butikker, selv om metoden for å dirigere ofre til disse sidene er foreløpig ukjent. MMRat forkler seg ofte som en legitim myndighetsapp eller en datingapplikasjon.

Når trojaneren er installert, er den sterkt avhengig av Android-tilgjengelighetstjenesten og MediaProjection API. Disse komponentene, også brukt av en annen Android finanstrojan kalt SpyNote, gjør det mulig for MMRat å utføre sine ondsinnede aktiviteter. Skadevaren utnytter tilgangstillatelsene sine for å gi seg selv flere tillatelser og endre enhetsinnstillinger.

MMRats driftsmodus

MMRat er programmert til å etablere utholdenhet, og sikre dens overlevelse gjennom omstart av enheten. Den kommuniserer med en ekstern server for å avvente kommandoer og sende tilbake resultatene av utførte kommandoer. Trojanen bruker ulike kombinasjoner av porter og protokoller for funksjoner som datautvinning, videostreaming og kommando-og-kontroll-operasjoner.

Trojaneren har evnen til å samle omfattende enhetsinformasjon og personlige data. Dette inkluderer detaljer som signalstyrke, skjermstatus, batteristatistikk, installerte apper og kontaktlister. Det er mistanke om at trusselaktøren bak MMRat bruker denne informasjonen til offerprofilering før han går videre til neste stadium av angrepet.

Blant funksjonene kan MMRat ta opp skjerminnhold i sanntid og fange låseskjermmønstre. Dette letter ekstern tilgang for trusselaktører selv når enheten er låst og inaktiv.

Angrepene utført av MMRat kulminerer med at trojaneren sletter seg selv etter å ha mottatt en spesifikk C2-kommando ("UNINSTALL_APP"). Dette skjer vanligvis etter en vellykket uredelig transaksjon, og eliminerer effektivt alle spor av trojaneren fra den infiserte enheten.