MMRat Mobile Malware riktar sig till Android-enheter

En Android-banktrojan kallad MMRat, som inte tidigare hade identifierats, har upptäckts i Sydostasien sedan slutet av juni 2023. Denna trojan, uppkallad efter sitt unika paketnamn "com.mm.user", är utformad för att rikta in sig på mobilanvändare i regionen. Dess primära mål är att ta kontroll över mobila enheter på distans och engagera sig i ekonomiskt bedrägeri.

Den skadliga programvaran kan fånga användarinmatningar och skärminnehåll. Dessutom använder den olika tekniker för att kontrollera komprometterade enheter på avstånd. Detta gör att angriparna kan utföra bedrägliga aktiviteter relaterade till bankverksamhet på offrets enhet. Säkerhetsföretaget Trend Micro har lyft fram det utmärkande för MMRat: dess användning av ett skräddarsytt kommando-och-kontroll-protokoll (C2) baserat på protokollbuffertar (protobuf). Detta specialiserade tillvägagångssätt möjliggör effektiv överföring av betydande mängder data från komprometterade smartphones, vilket visar upp den ökande komplexiteten hos skadlig programvara för Android.

Skadlig programvaras troliga mål inkluderar Indonesien, Vietnam, Singapore och Filippinerna, baserat på språket som används på nätfiskesidorna. Attackerna börjar med att användare dirigeras till nätfiskewebbplatser som liknar officiella appbutiker, även om metoden för att dirigera offer till dessa webbplatser är okänd för närvarande. MMRat klär sig vanligtvis som en legitim statlig app eller en dejtingapplikation.

När den väl har installerats är trojanen starkt beroende av Androids tillgänglighetstjänst och MediaProjection API. Dessa komponenter, som också används av en annan finansiell Android-trojan som heter SpyNote, gör det möjligt för MMRat att utföra sina skadliga aktiviteter. Skadlig programvara utnyttjar sina tillgänglighetsbehörigheter för att ge sig själv ytterligare behörigheter och ändra enhetsinställningar.

MMRats funktionssätt

MMRat är programmerat för att etablera uthållighet, vilket säkerställer dess överlevnad genom omstart av enheten. Den kommunicerar med en fjärrserver för att invänta kommandon och skicka tillbaka resultatet av utförda kommandon. Trojanen använder olika kombinationer av portar och protokoll för funktioner som dataextraktion, videoströmning och kommando-och-kontrolloperationer.

Trojanen har förmågan att samla in omfattande enhetsinformation och personlig data. Detta inkluderar detaljer som signalstyrka, skärmstatus, batteristatistik, installerade appar och kontaktlistor. Det misstänks att hotaktören bakom MMRat använder denna information för offerprofilering innan han fortsätter till nästa steg av attacken.

Bland dess funktioner kan MMRat spela in skärminnehåll i realtid och fånga låsskärmsmönster. Detta underlättar fjärråtkomst för hotaktörer även när enheten är låst och inaktiv.

Attackerna som utförs av MMRat kulminerar i att trojanen raderar sig själv när han tar emot ett specifikt C2-kommando ("UNINSTALL_APP"). Detta inträffar vanligtvis efter en framgångsrik bedräglig transaktion, vilket effektivt eliminerar alla spår av trojanen från den infekterade enheten.