Компания Trend Micro обнаружила новый банковский троян для операционной системы Android. Вредоносное ПО, получившее название MMRat, использует редкий метод сериализации данных. Он позволяет максимально эффективно и быстро красть конфиденциальную информацию с зараженных устройств.
По данным исследователей, MMRat впервые заметили в конце июня 2023 года. Сейчас он в основном распространяется среди пользователей из Юго-Восточной Азии. При этом популярные антивирусные сканеры, такие как VirusTotal, его не замечают.
Пользователи загружают вредоносные приложения, принимая их за официальные государственные сервисы или платформы для знакомств. В процессе установки троян запрашивает сомнительные разрешения. Например, на управление настройками доступа.
Если жертва ничего не заподозрила, программа автоматически устанавливает для себя расширенные права. Через сервер C2 она какое-то время мониторит активность устройства, чтобы выяснить, в какое время владелец реже всего им пользуется.
Когда гаджет остается без присмотра, MMRat может удаленно его активировать, разблокировать экран и взломать любые приложения (например, банковские) в режиме реального времени.
Основные возможности трояна включают:
- Сбор данных о параметрах сети, дисплея или о состоянии батареи;
Кражу контактов и списка установленных приложений;
Перехват ввода с клавиатуры (сообщения, пароли логины, номера телефонов и банковских карт и т. д.);
Просмотр изображений на экране через API MediaProjection;
Трансляцию с камеры;
Считывание текста на экране и отправку файлов на командный сервер;
Удаление следов присутствия в системе.
Для передачи украденной информации разработчики MMRat используют протокол на основе технологии Protobuf. Этот инструмент оптимизирует трафик и маскирует вредоносную активность.
Protobuf – это алгоритм сериализации, выпущенный корпорацией Google. По своей сути он аналогичен популярным XML и JSON, но обладает более высокой скоростью и компактностью.
MMRat общается командным сервером через разные порты и протоколы. Например:
HTTP на порту 8080 для передачи скомпрометированных файлов;
RTSP и порт 8554 для видеопотоков;
Кастомный Protobuf на 8887 для команд и управления системой.
Чтобы снизить риски, пользователям советуют загружать приложения только из официального магазина Google Play, проверять отзывы и разработчиков, а также внимательно относиться к запрашиваемым при установке разрешениям.