کمیته رکن چهارم – بدافزار بانکی اندرویدی برای سرقت دادههای روی دستگاههای در معرض خطر از سریالسازی دادههای protobuf استفاده میکند.
MMRat برای اولینبار اواخر ژوئن ۲۰۲۳ توسط Trend Micro مشاهده شد که عمدتاً کاربران در جنوب شرقی آسیا را هدف قرار میداد و در سرویسهای اسکن آنتیویروس مانند VirusTotal ناشناخته باقی میماند. در حالی که محققان نمیدانند چگونه بدافزار در ابتدا برای قربانیان تبلیغ میشود، آنها دریافتند که MMRat از طریق وبسایتهایی که بهعنوان فروشگاههای برنامه رسمی پنهانشدهاند توزیع میشود.
قربانیان برنامههای مخربی را که دارای MMRat هستند دانلود و نصب میکنند که معمولاً از یک برنامه دولتی رسمی یا برنامه دوستیابی تقلید میکنند و مجوزهای خطرناکی مانند دسترسی به سرویس دسترسپذیری Android را در حین نصب اعطا میکنند. این بدافزار بهطور خودکار از ویژگی دسترسپذیری سوءاستفاده میکند تا به خود مجوزهای بیشتری بدهد که اجازه میدهند طیف گستردهای از اقدامات مخرب را روی دستگاه آلوده انجام دهد.
هنگامیکه MMRat یک دستگاه اندرویدی را آلوده میکند، یک کانال ارتباطی با سرور C2 ایجاد میکند و فعالیت دستگاه را برای کشف دورههای بیکاری نظارت میکند. در این مدت، عامل تهدید از سرویس دسترسی برای فعال کردن دستگاه از راه دور، باز کردن قفل صفحه و انجام کلاهبرداری بانکی در زمان واقعی سوءاستفاده میکند.
جمعآوری اطلاعات شبکه، صفحه و باتری، استخراج لیست مخاطبان کاربر و لیست برنامههای نصبشده، گرفتن ورودی کاربر از طریق keylogging، ضبط محتوای صفحه بهطور بدوندرنگ با سوءاستفاده از MediaProjection API، ضبط و انتقال زنده دادههای دوربین، ضبط دادههای صفحه نمایش و ارسال به C2 و حذف شدن خودکار برای پاککردن تمام شواهد آلودگی از قابلیتهای اصلی MMRat است.
MMRat از پروتکل سرور فرمان و کنترل منحصربهفرد (C2) مبتنی بر بافرهای پروتکل (Protobuf) برای انتقال کارآمد داده استفاده میکند که در بین تروجانهای اندروید غیرمعمول است. Protobuf روشی برای سریالسازی دادههای ساختاریافته است که گوگل ایجاد کرده است.
MMRat از پورتها و پروتکلهای مختلفی برای تبادل داده با C2 استفاده میکند، مانند HTTP در پورت ۸۰۸۰ برای استخراج داده، RTSP و پورت ۸۵۵۴ برای پخش ویدئو و Protobuf سفارشی در ۸۸۸۷ برای فرمان و کنترل. به طور خلاصه، MMRat نشان میدهد پیچیدگی تروجانهای بانکی اندرویدی در حال رشد است و سازندگان بدافزار به شکل ماهرانهای مخفیکاری و ارسال داده با کارایی بالا را با هم ترکیب میکنند.
منبع : افتانا
