MMRat 移动恶意软件针对 Android 设备

自 2023 年 6 月下旬以来，在东南亚检测到了一种名为 MMRat 的 Android 银行木马，该木马之前未被识别。该木马以其独特的软件包名称“com.mm.user”命名，旨在针对移动用户在该区域。其主要目标是远程控制移动设备并进行金融欺诈。

该恶意软件能够捕获用户输入和屏幕内容。此外，它还采用各种技术来远程控制受感染的设备。这使得攻击者可以在受害者的设备上进行与银行业务相关的欺诈活动。安全公司趋势科技强调了 MMRat 的显着特征：它利用基于协议缓冲区 (protobuf) 的定制命令和控制 (C2) 协议。这种专门的方法可以有效地从受感染的智能手机传输大量数据，这表明 Android 恶意软件的复杂性日益增加。

根据网络钓鱼页面中使用的语言，该恶意软件的可能目标包括印度尼西亚、越南、新加坡和菲律宾。这些攻击首先将用户引导至类似于官方应用商店的网络钓鱼网站，但目前尚不清楚将受害者引导至这些网站的方法。 MMRat 通常将自己伪装成合法的政府应用程序或约会应用程序。

一旦成功安装，该木马就会严重依赖 Android 辅助服务和 MediaProjection API。这些组件也被另一个名为 SpyNote 的 Android 金融木马利用，使 MMRat 能够执行其恶意活动。该恶意软件利用其可访问权限向自身授予额外权限并修改设备设置。

MMRat 的操作模式

MMRat 经过编程以建立持久性，确保其在设备重新启动后仍能生存。它与远程服务器通信以等待命令并发回执行命令的结果。该木马采用各种端口和协议组合来实现数据提取、视频流以及命令和控制操作等功能。

该木马具有收集大量设备信息和个人数据的能力。这包括信号强度、屏幕状态、电池统计数据、安装的应用程序和联系人列表等详细信息。人们怀疑 MMRat 背后的威胁行为者在进行下一阶段的攻击之前会利用这些信息进行受害者分析。

MMRat 的功能包括记录实时屏幕内容和捕获锁屏模式。即使设备被锁定且处于非活动状态，这也有助于威胁参与者进行远程访问。

MMRat 进行的攻击最终导致木马在收到特定 C2 命令（“UNINSTALL_APP”）后删除自身。这通常发生在成功的欺诈交易之后，有效地消除了受感染设备中木马的所有痕迹。