Malware móvel MMRat tem como alvo dispositivos Android

Um trojan bancário Android conhecido como MMRat, que não havia sido identificado anteriormente, foi detectado no sudeste da Ásia desde o final de junho de 2023. Este trojan, batizado com o nome de pacote exclusivo "com.mm.user", foi projetado para atingir usuários móveis na região. Seu principal objetivo é assumir o controle remoto de dispositivos móveis e praticar fraudes financeiras.

O software malicioso é capaz de capturar entradas do usuário e conteúdo da tela. Além disso, emprega várias técnicas para controlar dispositivos comprometidos à distância. Isso permite que os invasores realizem atividades fraudulentas relacionadas a transações bancárias no dispositivo da vítima. A empresa de segurança Trend Micro destacou a característica distintiva do MMRat: a utilização de um protocolo de comando e controle (C2) personalizado baseado em buffers de protocolo (protobuf). Esta abordagem especializada permite a transferência eficiente de quantidades substanciais de dados de smartphones comprometidos, demonstrando a crescente complexidade do malware Android.

Os prováveis alvos do malware incluem Indonésia, Vietnã, Cingapura e Filipinas, com base na linguagem usada nas páginas de phishing. Os ataques começam com os usuários sendo direcionados para sites de phishing semelhantes às lojas de aplicativos oficiais, embora o método de direcionar as vítimas para esses sites seja atualmente desconhecido. O MMRat geralmente se disfarça como um aplicativo governamental legítimo ou um aplicativo de namoro.

Depois de instalado com sucesso, o trojan depende fortemente do serviço de acessibilidade do Android e da API MediaProjection. Esses componentes, também utilizados por outro trojan financeiro Android chamado SpyNote, permitem que o MMRat execute suas atividades maliciosas. O malware explora suas permissões de acessibilidade para conceder permissões adicionais a si mesmo e modificar as configurações do dispositivo.

Modo de operação do MMRat

O MMRat está programado para estabelecer persistência, garantindo sua sobrevivência através de reinicializações de dispositivos. Ele se comunica com um servidor remoto para aguardar comandos e enviar de volta os resultados dos comandos executados. O trojan emprega várias combinações de portas e protocolos para funções como extração de dados, streaming de vídeo e operações de comando e controle.

O trojan possui a capacidade de coletar extensas informações do dispositivo e dados pessoais. Isso inclui detalhes como intensidade do sinal, status da tela, estatísticas da bateria, aplicativos instalados e listas de contatos. Suspeita-se que o autor da ameaça por trás do MMRat utilize essas informações para traçar o perfil da vítima antes de prosseguir para o próximo estágio do ataque.

Entre suas funcionalidades, o MMRat pode gravar o conteúdo da tela em tempo real e capturar padrões de tela de bloqueio. Isso facilita o acesso remoto para os agentes de ameaças, mesmo quando o dispositivo está bloqueado e inativo.

Os ataques realizados pelo MMRat culminam com a exclusão do trojan ao receber um comando C2 específico (“UNINSTALL_APP”). Isso normalmente ocorre após uma transação fraudulenta bem-sucedida, eliminando efetivamente todos os vestígios do trojan do dispositivo infectado.