افتانا - دردسرهای MMRat برای اندرویدی‌ها

بدافزار بانکی اندرویدی برای سرقت داده‌های روی دستگاه‌های در معرض خطر از سریال‌سازی داده‌های protobuf استفاده می‌کند.

بدافزار بانکی اندرویدی برای سرقت داده‌های روی دستگاه‌های در معرض خطر از سریال‌سازی داده‌های protobuf استفاده می‌کند.

به گزارش افتانا، MMRat برای اولین‌بار اواخر ژوئن 2023 توسط Trend Micro مشاهده شد که عمدتاً کاربران در جنوب شرقی آسیا را هدف قرار می‌داد و در سرویس‌های اسکن آنتی‌ویروس مانند VirusTotal ناشناخته باقی می‌ماند. در حالی که محققان نمی‌دانند چگونه بدافزار در ابتدا برای قربانیان تبلیغ می‌شود، آن‌ها دریافتند که MMRat از طریق وب‌سایت‌هایی که به‌عنوان فروشگاه‌های برنامه رسمی پنهان‌شده‌اند توزیع می‌شود. قربانیان برنامه‌های مخربی را که دارای MMRat هستند دانلود و نصب می‌کنند که معمولاً از یک برنامه دولتی رسمی یا برنامه دوست‌یابی تقلید می‌کنند و مجوزهای خطرناکی مانند دسترسی به سرویس دسترس‌پذیری Android را در حین نصب اعطا می‌کنند. این بدافزار به‌طور خودکار از ویژگی دسترس‌پذیری سوءاستفاده می‌کند تا به خود مجوزهای بیشتری بدهد که اجازه می‌دهند طیف گسترده‌ای از اقدامات مخرب را روی دستگاه آلوده انجام دهد.

هنگامی‌که MMRat یک دستگاه اندرویدی را آلوده می‌کند، یک کانال ارتباطی با سرور C2 ایجاد می‌کند و فعالیت دستگاه را برای کشف دوره‌های بیکاری نظارت می‌کند. در این مدت، عامل تهدید از سرویس دسترسی برای فعال کردن دستگاه از راه دور، باز کردن قفل صفحه و انجام کلاهبرداری بانکی در زمان واقعی سوء‌استفاده می‌کند.

جمع‌آوری اطلاعات شبکه، صفحه و باتری، استخراج لیست مخاطبان کاربر و لیست برنامه‌های نصب‌‌شده، گرفتن ورودی کاربر از طریق keylogging، ضبط محتوای صفحه به‌طور بدون‌‌درنگ با سوءاستفاده از MediaProjection API، ضبط و انتقال زنده داده‌های دوربین‌، ضبط داده‌های صفحه نمایش و ارسال به C2 و حذف شدن خودکار برای پاک‌کردن تمام شواهد آلودگی از قابلیت‌های اصلی MMRat است.

MMRat از پروتکل سرور فرمان و کنترل منحصربه‌فرد (C2) مبتنی بر بافرهای پروتکل (Protobuf) برای انتقال کارآمد داده استفاده می‌کند که در بین تروجان‌های اندروید غیرمعمول است. Protobuf روشی برای سریال‌سازی داده‌های ساختاریافته است که گوگل ایجاد کرده است.

MMRat از پورت‌ها و پروتکل‌های مختلفی برای تبادل داده با C2 استفاده می‌کند، مانند HTTP در پورت 8080 برای استخراج داده، RTSP و پورت 8554 برای پخش ویدئو و Protobuf سفارشی در 8887 برای فرمان و کنترل. به طور خلاصه، MMRat نشان می‌دهد پیچیدگی تروجان‌های بانکی اندرویدی در حال رشد است و سازندگان بدافزار به شکل ماهرانه‌ای مخفی‌کاری و ارسال داده با کارایی بالا را با هم ترکیب می‌کنند.