Внимание, Android малуерът MMRat използва Protobuf протокола за кражба на информацията от смартфоните
Аналитиците на Trend Micro откриха нов рисков банков вирус за Android с името MMRat. Характерна специфичност на зловредния програмен продукт е потреблението на протокола за серийно предаване на данните protobuf (Protocol Buffers) за кражба на информация от компрометираните устройства.
MMRat е открит за първи път в края на юни 2023 година Зловредният програмен продукт е бил ориентиран най-вече към консуматори от Югоизточна Азия и не е бил засечен от антивирусните скенери, като да вземем за пример VirusTotal.
Въпреки че откривателите към момента не знаят по какъв метод малуерът в началото е бил публикуван измежду жертвите, те са открили, че MMRat може да бъде открит в уеб уеб сайтове, маскирани като публични магазини за приложения. Изглежда, че жертвите сами изтеглят и конфигурират тези приложения (зловредният програмен продукт нормално имитира публични държавни приложения и приложения за запознанства), съдържащи MMRat, и по-късно им дават рискови права, в това число достъп до услугата Accessibility.
След като бъде конфигуриран на устройството, MMRat открива връзка с надзорен сървър и следи интензивността на инфектираното устройство, с цел да открие интервалите на неактивност. След това, когато моментът е най-подходящ, хакерите злоупотребяват с опциите на услугата Accessibility, с цел да задействат устройството от разстояние, да отключат екрана и да правят банкови измами в действително време.
Сред главните функционалности на MMRat откривателите изброяват:
събиране на информация за мрежата, екрана и батерията;извличане на листата с контакти на потребителя и листата с конфигурираните приложения; прихващане на потребителските данни посредством запис на натисканите клавиши; заснемане на екрана в действително време посредством корист с MediaProjection API; запис и лъчение на данни от камерата в действително време; записване и събиране на данни от екрана (под формата на дъмпове в текстов формат), които по-късно се предават на сървъра на нападателите; изтриване от устройството, с цел да се заличат всички следи от заразяването.
Поради способността на MMRat да снима екранно наличие и предвид на по-примитивния способ за добиване на текстови данни, който изисква възобновяване, нападателите се нуждаят от метод за дейно прекачване на данните. Затова създателите на MMRat вземат решение да разработят личен протокол за добиване на информацията.
Експертите настояват, че MMRat употребява неповторим C&C протокол, основан на Protobuf, който се среща извънредно рядко измежду троянските коне за Android. По този метод MMRat употребява разнообразни портове и протоколи за продан на данни с контролния сървър: HTTP с порт 8080 за приключването на данните, RTSP с порт 8554 за стрийминга на видео и персонализирания протокол Protobuf с порт 8887 за командване и ръководство.
