MMRat 移動惡意軟件針對 Android 設備

自2023 年6 月下旬以來，在東南亞檢測到了一種名為MMRat 的Android 銀行木馬，該木馬之前未被識別。該木馬以其獨特的軟件包名稱“com.mm.user”命名，旨在針對移動用戶在該區域。其主要目標是遠程控制移動設備並進行金融欺詐。

該惡意軟件能夠捕獲用戶輸入和屏幕內容。此外，它還採用各種技術來遠程控制受感染的設備。這使得攻擊者可以在受害者的設備上進行與銀行業務相關的欺詐活動。安全公司趨勢科技強調了 MMRat 的顯著特徵：它利用基於協議緩衝區 (protobuf) 的定制命令和控制 (C2) 協議。這種專門的方法可以有效地從受感染的智能手機傳輸大量數據，這表明 Android 惡意軟件的複雜性日益增加。

根據網絡釣魚頁面中使用的語言，該惡意軟件的可能目標包括印度尼西亞、越南、新加坡和菲律賓。這些攻擊首先將用戶引導至類似於官方應用商店的網絡釣魚網站，但目前尚不清楚將受害者引導至這些網站的方法。 MMRat 通常將自己偽裝成合法的政府應用程序或約會應用程序。

一旦成功安裝，該木馬就會嚴重依賴 Android 輔助服務和 MediaProjection API。這些組件也被另一個名為 SpyNote 的 Android 金融木馬利用，使 MMRat 能夠執行其惡意活動。該惡意軟件利用其可訪問權限向自身授予額外權限並修改設備設置。

MMRat 的操作模式

MMRat 經過編程以建立持久性，確保其在設備重新啟動後仍能生存。它與遠程服務器通信以等待命令並發回執行命令的結果。該木馬采用各種端口和協議組合來實現數據提取、視頻流以及命令和控制操作等功能。

該木馬俱有收集大量設備信息和個人數據的能力。這包括信號強度、屏幕狀態、電池統計數據、安裝的應用程序和聯繫人列表等詳細信息。人們懷疑 MMRat 背後的威脅行為者在進行下一階段的攻擊之前會利用這些信息進行受害者分析。

MMRat 的功能包括記錄實時屏幕內容和捕獲鎖屏模式。即使設備被鎖定且處於非活動狀態，這也有助於威脅參與者進行遠程訪問。

MMRat 進行的攻擊最終導致木馬在收到特定 C2 命令（“UNINSTALL_APP”）後刪除自身。這通常發生在成功的欺詐交易之後，有效地消除了受感染設備中木馬的所有痕跡。