Мобильное вредоносное ПО MMRat нацелено на устройства Android

Банковский троян Android под названием MMRat, который ранее не был идентифицирован, был обнаружен в Юго-Восточной Азии с конца июня 2023 года. Этот троян, названный в честь уникального имени пакета «com.mm.user», предназначен для мобильных пользователей. в регионе. Его основная цель — удаленный контроль над мобильными устройствами и участие в финансовых махинациях.

Вредоносное программное обеспечение способно перехватывать вводимые пользователем данные и содержимое экрана. Более того, он использует различные методы для управления скомпрометированными устройствами на расстоянии. Это позволяет злоумышленникам проводить мошеннические действия, связанные с банковскими операциями на устройстве жертвы. Охранная компания Trend Micro подчеркнула отличительную особенность MMRat: использование специального протокола управления и контроля (C2), основанного на буферах протоколов (protobuf). Этот специализированный подход позволяет эффективно передавать значительные объемы данных со взломанных смартфонов, демонстрируя растущую сложность вредоносного ПО для Android.

Судя по языку, используемому на фишинговых страницах, вероятными целями вредоносного ПО являются Индонезия, Вьетнам, Сингапур и Филиппины. Атаки начинаются с перенаправления пользователей на фишинговые сайты, напоминающие официальные магазины приложений, хотя способ направления жертв на эти сайты на данный момент неизвестен. MMRat обычно маскируется под законное правительственное приложение или приложение для знакомств.

После успешной установки троян активно использует службу специальных возможностей Android и API MediaProjection. Эти компоненты, также используемые другим финансовым трояном Android под названием SpyNote, позволяют MMRat выполнять свои вредоносные действия. Вредоносная программа использует свои права доступа для предоставления себе дополнительных разрешений и изменения настроек устройства.

Режим работы MMRat

MMRat запрограммирован на постоянство, обеспечивая его выживание после перезагрузки устройства. Он взаимодействует с удаленным сервером, ожидая команд и отправляя обратно результаты выполненных команд. Троян использует различные комбинации портов и протоколов для таких функций, как извлечение данных, потоковое видео и операции управления и контроля.

Троян обладает способностью собирать обширную информацию об устройствах и личные данные. Сюда входят такие сведения, как уровень сигнала, состояние экрана, статистика батареи, установленные приложения и списки контактов. Предполагается, что злоумышленник, стоящий за MMRat, использует эту информацию для составления профиля жертвы, прежде чем перейти к следующему этапу атаки.

Среди своих функций MMRat может записывать содержимое экрана в реальном времени и фиксировать шаблоны экрана блокировки. Это облегчает удаленный доступ для злоумышленников, даже когда устройство заблокировано и неактивно.

Атаки, осуществляемые MMRat, завершаются самоудалением трояна при получении специальной команды C2 («UNINSTALL_APP»). Обычно это происходит после успешной мошеннической транзакции, которая эффективно удаляет все следы трояна с зараженного устройства.