Ένα νέο Android banking malware, που ονομάζεται MMRat, χρησιμοποιεί μια σπάνια μέθοδο επικοινωνίας, γνωστή ως protobuf data serialization, για να κλέψει πιο αποτελεσματικά δεδομένα από συσκευές.
Το MMRat ανιχνεύτηκε για πρώτη φορά από την εταιρεία Trend Micro τον Ιούνιο του 2023. Βασικοί στόχοι του είναι χρήστες στη Νοτιοανατολική Ασία. Το malware κατάφερε να μείνει κρυφό για κάποιο διάστημα, αφού δεν μπορεί να εντοπιστεί από υπηρεσίες σάρωσης ιών όπως το VirusTotal.
Οι ερευνητές ανακάλυψαν ότι το MMRat διανέμεται μέσω ιστοσελίδων που παρουσιάζονται ως επίσημα καταστήματα εφαρμογών.
Τα θύματα κατεβάζουν και εγκαθιστούν κακόβουλες εφαρμογές που φέρουν το MMRat banking malware, μέσω αυτών των app stores. Οι εφαρμογές συνήθως μιμούνται μια επίσημη κυβερνητική εφαρμογή ή μια εφαρμογή γνωριμιών. Ωστόσο, κατά την εγκατάσταση, ζητούν επικίνδυνες άδειες, όπως πρόσβαση στο Accessibility service του Android.
Το κακόβουλο λογισμικό καταχράται αυτόματα το Accessibility feature για να αποκτήσει πρόσθετα δικαιώματα που θα του επιτρέψουν να εκτελέσει μια σειρά από κακόβουλες δραστηριότητες στη συσκευή.
Δείτε επίσης: Το Android malware CherryBlos κλέβει password χρησιμοποιώντας OCR
MMRat Android banking malware: Δυνατότητες
Μόλις το MMRat malware μολύνει μια συσκευή Android, δημιουργεί ένα κανάλι επικοινωνίας με τον C2 server και παρακολουθεί τη δραστηριότητα της συσκευής για να εντοπίσει περιόδους αδράνειας.
Κατά τη διάρκεια αυτών των περιόδων, οι χειριστές του banking malware καταχρώνται το Accessibility Service για να ανοίξουν τη συσκευή από απόσταση, να ξεκλειδώσουν την οθόνη και να πραγματοποιήσουν τραπεζική απάτη σε πραγματικό χρόνο.
Βασικές λειτουργίες του MMRat:
- Κλοπή λίστας επαφών του χρήστη και λίστας των εγκατεστημένων εφαρμογών
- Συλλογή πληροφοριών δικτύου, οθόνης και μπαταρίας
- Keylogging
- Καταγραφή περιεχομένου οθόνης σε πραγματικό χρόνο μέσω κατάχρησης του MediaProjection API
- Καταγραφή και live-stream δεδομένων κάμερας
- Αποστολή δεδομένων στο C2 server
- Απεγκατάσταση από τη συσκευή και διαγραφή όλων των στοιχείων που μαρτυρούν τη μόλυνση
Η ικανότητα του MMRat να καταγράφει περιεχόμενο οθόνης σε πραγματικό χρόνο και ακόμη και η πιο στοιχειώδης μέθοδος “user terminal state” που εξάγει δεδομένα κειμένου που απαιτούν ανακατασκευή, απαιτούν αποτελεσματική μετάδοση δεδομένων.
Χωρίς αυτή, οι χειριστές του MMRat Android banking malware δεν θα μπορούσαν να εκτελέσουν αποτελεσματικά τραπεζική απάτη, γι’ αυτό επέλεξαν να αναπτύξουν ένα προσαρμοσμένο πρωτόκολλο Protobuf για την εξαγωγή δεδομένων.
Δείτε επίσης: Χάκερ νοικιάζουν το WikiLoader για να επιτεθούν σε ιταλικούς οργανισμούς με banking trojan
Πλεονέκτημα Protobuf
Το MMRat χρησιμοποιεί ένα μοναδικό πρωτόκολλο command and control (C2) server που βασίζεται σε protocol buffers (Protobuf) για αποτελεσματική μεταφορά δεδομένων, κάτι που δεν βλέπουμε συχνά σε Android trojans.
Το Protobuf είναι μια μέθοδος serializing structured data που ανέπτυξε η Google.
Το MMRat χρησιμοποιεί διαφορετικές θύρες και πρωτόκολλα για την ανταλλαγή δεδομένων με το C2, όπως HTTP στη θύρα 8080 για εξαγωγή δεδομένων, RTSP και θύρα 8554 για video streaming και custom Protobuf στη 8887 για command and control.
“Το πρωτόκολλο C&C, ειδικότερα, είναι μοναδικό λόγω της προσαρμογής του με βάση το Netty (ένα network application framework) και το προαναφερθέν Protobuf, πλήρες με καλά σχεδιασμένες δομές μηνυμάτων“, αναφέρει η Trend Micro.
“Για την επικοινωνία C&C, ο επιτιθέμενος χρησιμοποιεί μια γενική δομή για να αναπαραστήσει όλους τους τύπους μηνυμάτων και το keyword “oneof” για να αναπαραστήσει διαφορετικούς τύπους δεδομένων”.
Δείτε επίσης: QakBot, SocGholish και Raspberry Robin: Οι πιο δημοφιλείς malware loaders του 2023
Εκτός από την αποτελεσματικότητα του Protobuf, τα custom πρωτόκολλα βοηθούν επίσης τους φορείς απειλών να αποφύγουν τον εντοπισμό από εργαλεία ασφάλειας δικτύου.
Η ευελιξία του Protobuf επιτρέπει στους συντάκτες του MMRat banking malware να ορίσουν τις δομές των μηνυμάτων τους και να οργανώσουν τον τρόπο μετάδοσης των δεδομένων.
Ο τρόπος λειτουργίας του MMRat δείχνει την πολυπλοκότητα των νέων Android banking trojans. Οι χρήστες Android θα πρέπει να είναι ακόμα πιο προσεκτικοί και να κατεβάζουν εφαρμογές μόνο από το επίσημο κατάστημα εφαρμογών, Google Play. Ακόμα και σε αυτή την περίπτωση, θα πρέπει να ελέγχουν τις κριτικές άλλων χρηστών, να εμπιστεύονται μόνο αξιόπιστους εκδότες και να ελέγχουν τις άδειες που ζητούν οι εφαρμογές κατά την εγκατάσταση. Αν ζητούν άδεια για πρόσβαση σε ευαίσθητα δεδομένα, χωρίς να χρειάζονται για τη λειτουργία της εφαρμογής, αποφύγετε τη λήψη τους. Επίσης, πρέπει να ενημερώνονται τακτικά οι Android συσκευές ώστε να λαμβάνουν και ενημερώσεις ασφαλείας, ενώ καλό είναι να χρησιμοποιείται και ένα λογισμικό προστασίας από ιούς.
Τα Android banking malware, όπως το MMRat, αποτελούν μια σημαντική απειλή για την κυβερνοασφάλεια των χρηστών. Η κλοπή προσωπικών και τραπεζικών πληροφοριών μπορεί να δημιουργήσει σοβαρά προβλήματα.
Πηγή: www.bleepingcomputer.com