Logiciel malveillant mobile MMRat

Un malware bancaire Android émergent nommé MMRat utilise une technique de communication peu courante connue sous le nom de sérialisation des données protobuf. Cette approche améliore l'efficacité du malware dans l'extraction d'informations à partir d'appareils compromis.

Découvert par des experts en cybersécurité en juin 2023, MMRat se concentre principalement sur le ciblage des utilisateurs situés en Asie du Sud-Est. Bien que la méthode précise de diffusion initiale du malware auprès des victimes potentielles reste inconnue, les chercheurs ont identifié que MMRat se propage via des sites Web se faisant passer pour des magasins d'applications légitimes.

Les applications frauduleuses transportant le malware MMRat sont téléchargées et installées par des victimes sans méfiance. Souvent, ces applications usurpent l’identité d’applications gouvernementales ou de plateformes de rencontres. Par la suite, lors de l'installation, les applications demandent à recevoir les autorisations essentielles, notamment l'accès au service d'accessibilité d'Android.

En tirant parti de la fonctionnalité d'accessibilité, le malware s'assure automatiquement des autorisations supplémentaires. Cela permet à MMRat d'exécuter un large éventail d'activités nuisibles sur l'appareil compromis.

MMRat permet aux cybercriminels de prendre le contrôle de nombreuses fonctions de l'appareil

Une fois que MMRat accède à un appareil Android, il établit une communication avec un serveur C2 et surveille l'activité de l'appareil pendant les périodes d'inactivité. Pendant ces intervalles, les attaquants exploitent le service d'accessibilité pour réveiller l'appareil à distance, le déverrouiller et procéder à une fraude bancaire en temps réel.

Les fonctions clés de MMRat incluent la collecte de données sur le réseau, l'écran et la batterie, l'exfiltration des contacts utilisateur et des listes d'applications, la capture des entrées utilisateur via l'enregistrement au clavier, la saisie du contenu de l'écran en temps réel via l'API MediaProjection, l'enregistrement et la diffusion en direct des données de la caméra, le dumping des données d'écran dans le texte. formulaire au serveur C2, et finalement se désinstaller pour effacer les traces d'infection.

La transmission efficace des données de MMRat est essentielle pour sa capacité à capturer le contenu de l'écran en temps réel et à extraire les données textuelles de « l'état du terminal utilisateur ». Pour permettre une fraude bancaire efficace, les auteurs du malware ont conçu un protocole Protobuf personnalisé pour l'exfiltration de données.

MMRat utilise une technique de communication inhabituelle pour atteindre le serveur de l'attaquant

MMRat utilise un protocole de serveur de commande et de contrôle (C2) distinct utilisant ce que l'on appelle des tampons de protocole (Protobuf) pour faciliter un transfert de données rationalisé, une rareté dans le domaine des chevaux de Troie Android. Protobuf, une technique de sérialisation de données développée par Google, fonctionne de manière similaire à XML et JSON mais présente une empreinte plus petite et plus rapide.

MMRat utilise des ports et des protocoles variés pour ses interactions avec le C2. Ceux-ci incluent HTTP sur le port 8080 pour l'exfiltration de données, RTSP et le port 8554 pour le streaming vidéo, ainsi qu'une implémentation Protobuf personnalisée sur le port 8887 pour la commande et le contrôle.

La particularité du protocole C&C réside dans le fait qu'il est conçu pour utiliser Netty, un cadre d'application réseau, et Protobuf mentionné précédemment. Cela intègre également des messages bien structurés. Dans le cadre de la communication C&C, l'acteur malveillant adopte une structure complète pour englober tous les types de messages et le mot-clé « oneof » pour désigner des catégories de données distinctes.

Au-delà de l'efficacité de Protobuf, l'utilisation de protocoles personnalisés renforce l'évasion contre les outils de sécurité réseau qui identifient généralement des modèles reconnaissables de menaces déjà connues. Grâce à la polyvalence de Protobuf, les créateurs de MMRat ont la liberté de définir leurs structures de messages et de réguler les méthodes de transmission des données. Parallèlement, sa conception systématique garantit que les données envoyées adhèrent à des conceptions prédéfinies, réduisant ainsi le risque de corruption dès leur réception.

La menace mobile MMRat illustre la complexité évolutive des chevaux de Troie bancaires Android, les cybercriminels combinant habilement des opérations discrètes avec des techniques efficaces de récupération de données.