Prethodno nedokumentovani Android bankarski trojanac nazvan MMRat je od kraja juna 2023. uočen kako cilja korisnike mobilnih telefona u jugoistočnoj Aziji kako bi daljinski zauzeo uređaje i izvršio finansijsku prevaru.
“Maliciozni softver, nazvan po prepoznatljivom nazivu paketa com.mm.user, može uhvatiti korisnički unos i sadržaj ekrana, a može i daljinski kontrolisati uređaje žrtve kroz različite tehnike, omogućavajući svojim operaterima da izvrše bankovne prijevare na uređaju žrtve”, Trend Micro je rekao.
Ono po čemu se MMRat izdvaja od drugih ove vrste je korištenje prilagođenog protokola za naredbu i kontrolu (C2) zasnovanog na međuspremnicima protokola (protobuf) za efikasan prijenos velikih količina podataka sa kompromitovanih uređaja, demonstrirajući rastuću sofisticiranost Android malware-a.
Moguće mete na osnovu jezika koji se koristi na stranicama za krađu identiteta uključuju Indoneziju, Vijetnam, Singapur i Filipine.
Ulazna tačka napada je mreža phishing stranica koje oponašaju službene prodavnice aplikacija, iako je za sada nepoznato kako se žrtve usmjeravaju na ove veze. MMRat se obično maskira kao službena vlada ili aplikacija za upoznavanje.
Jednom instalirana, aplikacija se u velikoj mjeri oslanja na Android uslugu pristupačnosti i MediaProjection API, a oba je koristio drugi Android financijski trojanac pod nazivom SpyNote za obavljanje svojih aktivnosti. Malliciozni softver također može zloupotrijebiti dozvole za pristupačnost kako bi sebi dodijelio druge dozvole i izmijenio postavke.
Dalje postavlja postojanost za preživljavanje kod ponovnog pokretanja i inicira komunikaciju sa udaljenim serverom kako bi čekao instrukcije i eksfiltrirao rezultate izvršenja tih naredbi nazad do njega. Trojanac koristi različite kombinacije portova i protokola za funkcije kao što su eksfiltracija podataka, video streaming i C2 kontrola.
MMRat posjeduje mogućnost prikupljanja širokog spektra podataka o uređaju i ličnih informacija, uključujući jačinu signala, status ekrana i statistiku baterije, instalirane aplikacije i liste kontakata. Sumnja se da haker koristi detalje kako bi izvršio neku vrstu profilisanja žrtve prije nego što pređe na sljedeću fazu.
Neke od drugih značajki MMRat-a obuhvataju snimanje sadržaja ekrana u realnom vremenu i hvatanje uzorka zaključanog ekrana kako bi se omogućio hakeru daljinski pristup uređaju žrtve kada je zaključan i nije aktivno u upotrebi.
“MMRat maliciozni softver zloupotrebljava uslugu pristupačnosti kako bi daljinski kontrolisao uređaj žrtve, izvodeći radnje kao što su pokreti, otključavanje ekrana i unos teksta, između ostalog”, rekao je Trend Micro.
“Ovo mogu koristiti hakeri – zajedno s ukradenim akreditivima – za obavljanje bankovnih prijevara.”
Napadi se završavaju tako što se MMRat izbriše nakon što primi C2 naredbu UNINSTALL_APP, što se obično dešava nakon uspješne lažne transakcije, efektivno uklanjajući sve tragove infekcije sa uređaja.
Kako bi se ublažile prijetnje koje predstavljaju tako moćni maliciozni softver, preporučuje se da korisnici preuzimaju aplikacije samo iz službenih izvora, pažljivo pregledaju recenzije aplikacija i provjere dozvole kojima aplikacija traži pristup prije upotrebe.
Izvor: The Hacker News
