En ny Android banking-malware ved navn MMRat udnytter en sjældent anvendt kommunikationsmetode, protobuf data serialization, for at stjæle data mere effektivt fra kompromitterede enheder. Du advarer Trendmicro mod denne malware i forbindelse med falske app stores. Læs mere herunder.
Mod slutningen af juni 2023 spottede Trend Micro første gang MMRat, en malware der primært sigter mod brugere i Sydøstasien og forbliver ubemærket af antivirus-scanningstjenester som VirusTotal.
Selvom man endnu ikke helt konkret ved, hvordan malwaren i første omgang når ud til ofrene, fandt trendmicro ud af, at MMRat distribueres via websider, der udgiver sig for at være officielle app stores. Ofrene downloader og installerer de ondsindede apps, der indeholder MMRat, hvor disse apps ofte udgiver sig for at være en officiel regerings-app eller en dating-app. Brugerne åbner også for potentielle farlige tilladelser, såsom adgang til Androids tilgængelighedstjeneste under installationen.
MMRat’s Funktioner
Malwaren udnytter automatisk tilgængelighedsfunktionen til at give sig selv yderligere tilladelser, der giver malwaren mulighed for at udføre en omfattende række skadelige handlinger på den inficerede enhed.
Læs også: Android 14: Udgivelsesdato og alt vi ved
Når MMRat-malwaren inficerer en Android-enhed, etablerer den en kommunikationskanal med C2-serveren og overvåger enhedens aktivitet for at tracke perioder med inaktivitet. I denne periode udnytter trusselsaktøren tilgængelighedstjenesten til at aktivere enheden eksternt, låse skærmen op og udføre bedrageri i realtid uden ejeren af enhedens viden.
MMRats hovedfunktioner kan opsummeres som følger:
- Indsamling af netværks-, skærm- og batteriinformation
- Eksfiltration af brugerens kontaktliste og liste over installerede apps
- Log af brugerinput via keylogging
- Optagelse af skærmindhold i realtid ved at udnytte MediaProjection API
- Optagelse og livestreaming af kameradata
- Optagelse og dumpning af data i tekstformater, der eksfiltreres til C2-serveren
- Selvafinstallation fra enheden for at slette alle spor af infektionen
For at muliggøre effektiv dataoverførsel har MMRat udviklet en unik kommandokontrol-protokol (C2) baseret på protocol buffers (Protobuf), hvilket er usædvanligt især blandt Android-trojaner.
Protobuf er en metode til serialisering af strukturerede data, udviklet af Google. Den ligner XML og JSON, men er mindre og hurtigere.
MMRat bruger forskellige porte og protokoller til udveksling af data med C2-serveren, såsom HTTP på port 8080 til dataekstraktion, RTSP og port 8554 til videostreaming, samt brugerdefineret Protobuf på port 8887 til kommandokontrol.
Trend Micros rapport nævner: “The C&C protocol, in particular, is unique due to its customization based on Netty (a network application framework) and the previously-mentioned Protobuf, complete with well-designed message structures,”
MMRat viser den udviklende sofistikering af Android banking-trojanere, der formår at blande stealth med effektiv dataudtrækning. Android-brugere bør kun downloade apps fra Google Play, tjekke brugeranmeldelser, stole på velrenommerede udgivere og vise forsigtighed under installationsfasen, hvor de bliver bedt om at give adgangstilladelser.
Kilde & Billederettigheder: Trendmicro, pcrisk
