Новая банковская вредоносная программа для Android под названием MMRat использует редко используемый метод обмена данными - сериализацию данных protobuf - для более эффективной кражи данных со скомпрометированных устройств.
Впервые MMRat был замечен компанией Trend Micro в конце июня 2023 г. Он был нацелен в основном на пользователей в Юго-Восточной Азии и остался незамеченным в антивирусных сервисах сканирования VirusTotal.
Исследователи не знают, каким образом вредоносная программа изначально попадает к жертвам, однако они обнаружили, что MMRat распространяется через сайты, замаскированные под официальные магазины приложений.
Жертвы загружают и устанавливают вредоносные приложения, содержащие MMRat, которые обычно имитируют официальные правительственные программы или приложения для знакомств, и в процессе установки предоставляют рискованные разрешения, например доступ к службе Accessibility в Android.
Вредоносная программа автоматически злоупотребляет функцией Accessibility, предоставляя себе дополнительные разрешения, которые позволяют ей выполнять широкий спектр вредоносных действий на зараженном устройстве.
Возможности MMRat
После заражения Android-устройства MMRat устанавливает канал связи с сервером C2 и отслеживает активность устройства, выявляя периоды бездействия.
В это время злоумышленник использует сервис Accessibility Service для удаленного пробуждения устройства, разблокировки экрана и совершения банковских махинаций в режиме реального времени.
Основные функции MMRat можно свести к следующему:
- Сбор информации о сети, экране и аккумуляторе
- сбор списка контактов пользователя и списка установленных приложений
- Перехват пользовательского ввода с помощью кейлоггинга
- Захват содержимого экрана устройства в реальном времени с помощью API MediaProjection.
- Запись и прямая трансляция данных с камеры
- Запись и сброс экранных данных в виде текстовых дампов, которые передаются в C2
- Самоудаление с устройства с целью уничтожения всех следов заражения.
Способность MMRat перехватывать содержимое экрана в реальном времени и даже его более примитивный метод "состояния пользовательского терминала", позволяющий извлекать текстовые данные, требующие реконструкции, требуют эффективной передачи данных.
Без такой эффективности производительность не позволит угрожающим субъектам эффективно осуществлять банковское мошенничество, поэтому авторы MMRat решили разработать собственный протокол Protobuf для эксфильтрации данных.
Преимущество Protobuf
Для эффективной передачи данных MMRat использует уникальный протокол командно-контрольного (C2) сервера, основанный на протокольных буферах (Protobuf), что редко встречается среди Android-троянов.
Protobuf - это метод сериализации структурированных данных, разработанный компанией Google, аналогичный XML и JSON, но более компактный и быстрый.
MMRat использует различные порты и протоколы для обмена данными с C2, такие как HTTP с портом 8080 для утечки данных, RTSP с портом 8554 для потоковой передачи видео, и пользовательский протокол Protobuf с портом 8887 для управления и контроля.
"Протокол C&C, в частности, уникален благодаря своей кастомизации на основе Netty (фреймворка сетевых приложений) и ранее упомянутого Protobuf, дополненного хорошо продуманными структурами сообщений", - говорится в отчете Trend Micro.
"Для связи с C&C угрожающий агент использует общую структуру для представления всех типов сообщений и ключевое слово "oneof" для представления различных типов данных".
Помимо эффективности Protobuf, пользовательские протоколы также помогают угрожающим субъектам уклоняться от обнаружения средствами сетевой безопасности, которые ищут общие шаблоны известных аномалий.
Гибкость Protobuf позволяет авторам MMRat определять свои структуры сообщений и организовывать передачу данных. В то же время, благодаря своей структурированности, отправляемые данные соответствуют заданной схеме и с меньшей вероятностью могут быть испорчены на стороне получателя.
В заключение следует отметить, что MMRat демонстрирует развивающуюся изощренность банковских троянов для Android, умело сочетая скрытность с эффективным извлечением данных.
Пользователям Android следует загружать приложения только из Google Play, проверять отзывы пользователей, доверять только авторитетным издателям и быть осторожными на этапе установки, когда требуется предоставить разрешение на доступ.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
