Złośliwe oprogramowanie MMRat Mobile atakuje urządzenia z systemem Android

Pod koniec czerwca 2023 r. w Azji Południowo-Wschodniej wykrywano trojana bankowego dla systemu Android określanego jako MMRat, który nie został wcześniej zidentyfikowany. Trojan ten, nazwany na cześć unikalnej nazwy pakietu „com.mm.user”, jest przeznaczony do atakowania użytkowników mobilnych w regionie. Jego głównym celem jest zdalne przejmowanie kontroli nad urządzeniami mobilnymi i angażowanie się w oszustwa finansowe.

Złośliwe oprogramowanie potrafi przechwytywać dane wejściowe użytkownika i zawartość ekranu. Co więcej, wykorzystuje różne techniki kontrolowania zainfekowanych urządzeń na odległość. Dzięki temu atakujący mogą przeprowadzić oszukańcze działania związane z bankowością na urządzeniu ofiary. Firma zajmująca się bezpieczeństwem Trend Micro podkreśliła charakterystyczną cechę MMRat: wykorzystanie dostosowanego protokołu dowodzenia i kontroli (C2) opartego na buforach protokołów (protobuf). To wyspecjalizowane podejście umożliwia skuteczny transfer znacznych ilości danych z zaatakowanych smartfonów, co ukazuje rosnącą złożoność złośliwego oprogramowania dla systemu Android.

Prawdopodobnymi celami szkodliwego oprogramowania są Indonezja, Wietnam, Singapur i Filipiny, w zależności od języka używanego na stronach phishingowych. Ataki rozpoczynają się od kierowania użytkowników do witryn phishingowych przypominających oficjalne sklepy z aplikacjami, chociaż metoda kierowania ofiar do tych witryn jest obecnie nieznana. MMRat często podszywa się pod legalną aplikację rządową lub aplikację randkową.

Po pomyślnej instalacji trojan w dużym stopniu opiera się na usłudze dostępności systemu Android i interfejsie API MediaProjection. Komponenty te, wykorzystywane również przez innego trojana finansowego dla systemu Android o nazwie SpyNote, umożliwiają MMRatowi wykonywanie szkodliwych działań. Szkodnik wykorzystuje swoje uprawnienia dostępu, aby przyznać sobie dodatkowe uprawnienia i modyfikować ustawienia urządzenia.

Sposób działania MMRata

MMRat jest zaprogramowany tak, aby ustanawiał trwałość, zapewniając przetrwanie po ponownym uruchomieniu urządzenia. Komunikuje się ze zdalnym serwerem w celu oczekiwania na polecenia i przesłania wyników wykonanych poleceń. Trojan wykorzystuje różne kombinacje portów i protokołów do takich funkcji, jak ekstrakcja danych, strumieniowe przesyłanie wideo oraz operacje dowodzenia i kontroli.

Trojan posiada zdolność gromadzenia obszernych informacji o urządzeniu i danych osobowych. Obejmuje to szczegółowe informacje, takie jak siła sygnału, stan ekranu, statystyki baterii, zainstalowane aplikacje i listy kontaktów. Podejrzewa się, że ugrupowanie zagrażające stojące za MMRat wykorzystuje te informacje do profilowania ofiar przed przejściem do następnego etapu ataku.

Wśród jego funkcjonalności MMRat może nagrywać zawartość ekranu w czasie rzeczywistym i przechwytywać wzorce ekranów blokady. Ułatwia to podmiotom zagrażającym zdalny dostęp nawet wtedy, gdy urządzenie jest zablokowane i nieaktywne.

Ataki przeprowadzane przez MMRat kończą się usunięciem trojana po otrzymaniu określonego polecenia C2 („UNINSTALL_APP”). Zwykle ma to miejsce po udanej oszukańczej transakcji, skutecznie eliminując wszelkie ślady trojana z zainfekowanego urządzenia.