MMRat mobiele malware richt zich op Android-apparaten

Een Android-banktrojan genaamd MMRat, die nog niet eerder was geïdentificeerd, is sinds eind juni 2023 in Zuidoost-Azië gedetecteerd. Deze trojan, genoemd naar de unieke pakketnaam "com.mm.user", is ontworpen om mobiele gebruikers te targeten in de regio. Het voornaamste doel is om op afstand de controle over mobiele apparaten over te nemen en financiële fraude te plegen.

De schadelijke software kan gebruikersinvoer en scherminhoud vastleggen. Bovendien maakt het gebruik van verschillende technieken om gecompromitteerde apparaten op afstand te controleren. Hierdoor kunnen de aanvallers frauduleuze activiteiten uitvoeren die verband houden met bankieren op het apparaat van het slachtoffer. Beveiligingsbedrijf Trend Micro heeft het onderscheidende kenmerk van MMRat benadrukt: het gebruik van een op maat gemaakt command-and-control (C2) protocol gebaseerd op protocolbuffers (protobuf). Deze gespecialiseerde aanpak maakt de efficiënte overdracht van aanzienlijke hoeveelheden gegevens van aangetaste smartphones mogelijk, wat de toenemende complexiteit van Android-malware aantoont.

De waarschijnlijke doelwitten van de malware zijn onder meer Indonesië, Vietnam, Singapore en de Filippijnen, gebaseerd op de taal die op de phishing-pagina's wordt gebruikt. De aanvallen beginnen met het doorverwijzen van gebruikers naar phishing-sites die lijken op officiële app-winkels, hoewel de methode om slachtoffers naar deze sites te leiden momenteel onbekend is. MMRat vermomt zichzelf vaak als een legitieme overheidsapp of een datingapplicatie.

Eenmaal succesvol geïnstalleerd, is de trojan sterk afhankelijk van de Android-toegankelijkheidsservice en de MediaProjection API. Deze componenten, die ook worden gebruikt door een andere financiële trojan voor Android, SpyNote genaamd, stellen MMRat in staat zijn kwaadaardige activiteiten uit te voeren. De malware maakt misbruik van de toegankelijkheidsrechten om zichzelf extra rechten te verlenen en apparaatinstellingen te wijzigen.

MMRat's werkingswijze

MMRat is geprogrammeerd om persistentie tot stand te brengen en de overleving ervan te garanderen door het opnieuw opstarten van het apparaat. Het communiceert met een externe server om op opdrachten te wachten en de resultaten van uitgevoerde opdrachten terug te sturen. De trojan maakt gebruik van verschillende combinaties van poorten en protocollen voor functies zoals gegevensextractie, videostreaming en command-and-control-bewerkingen.

De trojan beschikt over de mogelijkheid om uitgebreide apparaatinformatie en persoonlijke gegevens te verzamelen. Dit omvat details zoals signaalsterkte, schermstatus, batterijstatistieken, geïnstalleerde apps en contactlijsten. Er wordt vermoed dat de dreigingsactor achter MMRat deze informatie gebruikt voor slachtofferprofilering voordat hij doorgaat naar de volgende fase van de aanval.

Een van de functionaliteiten is dat MMRat real-time scherminhoud kan opnemen en vergrendelschermpatronen kan vastleggen. Dit vergemakkelijkt externe toegang voor bedreigingsactoren, zelfs als het apparaat vergrendeld en inactief is.

De aanvallen uitgevoerd door MMRat culmineren in het feit dat de trojan zichzelf verwijdert na ontvangst van een specifiek C2-commando ("UNINSTALL_APP"). Dit gebeurt meestal na een succesvolle frauduleuze transactie, waardoor alle sporen van de trojan effectief van het geïnfecteerde apparaat worden verwijderd.