MMRat malware móvil

Un malware bancario emergente para Android llamado MMRat emplea una técnica de comunicación poco común conocida como serialización de datos protobuf. Este enfoque mejora la eficiencia del malware a la hora de extraer información de los dispositivos comprometidos.

Desenterrado por expertos en ciberseguridad en junio de 2023, MMRat se concentra principalmente en usuarios ubicados en el sudeste asiático. Aunque aún se desconoce el método preciso de diseminación inicial del malware a víctimas potenciales, los investigadores han identificado que MMRat se propaga a través de sitios web que se hacen pasar por tiendas de aplicaciones legítimas.

Las aplicaciones fraudulentas que contienen el malware MMRat son descargadas e instaladas por víctimas desprevenidas. A menudo, estas aplicaciones se hacen pasar por aplicaciones gubernamentales o plataformas de citas. Posteriormente, durante la instalación, las aplicaciones solicitan recibir permisos esenciales, incluido el acceso al servicio de Accesibilidad de Android.

Al aprovechar la función de Accesibilidad, el malware obtiene automáticamente permisos adicionales. Esto permite a MMRat ejecutar una amplia gama de actividades dañinas en el dispositivo comprometido.

MMRat permite a los ciberdelincuentes tomar el control de numerosas funciones del dispositivo

Una vez que MMRat obtiene acceso a un dispositivo Android, establece comunicación con un servidor C2 y monitorea la actividad del dispositivo durante los períodos de inactividad. Durante estos intervalos, los atacantes aprovechan el Servicio de Accesibilidad para activar de forma remota el dispositivo, desbloquearlo y realizar fraude bancario en tiempo real.

Las funciones clave de MMRat incluyen recopilar datos de red, pantalla y batería, filtrar contactos de usuario y listas de aplicaciones, capturar entradas de usuario mediante registro de teclas, capturar contenido de pantalla en tiempo real a través de MediaProjection API, grabar y transmitir datos de cámara en vivo, volcar datos de pantalla en texto. forma al servidor C2 y, finalmente, se desinstala para borrar los rastros de infección.

La transmisión eficiente de datos de MMRat es vital para su capacidad de capturar contenido de pantalla en tiempo real y extraer datos de texto del "estado del terminal de usuario". Para permitir un fraude bancario eficaz, los autores del malware diseñaron un protocolo Protobuf personalizado para la filtración de datos.

MMRat utiliza una técnica de comunicación inusual para llegar al servidor del atacante

MMRat emplea un protocolo de servidor de comando y control (C2) distinto que utiliza lo que se conoce como buffers de protocolo (Protobuf) para facilitar la transferencia de datos optimizada, una rareza dentro del ámbito de los troyanos de Android. Protobuf, una técnica de serialización de datos desarrollada por Google, funciona de manera similar a XML y JSON, pero ocupa un espacio más pequeño y más rápido.

MMRat emplea una variedad de puertos y protocolos para sus interacciones con el C2. Estos incluyen HTTP en el puerto 8080 para exfiltración de datos, RTSP y el puerto 8554 para transmisión de video, y una implementación personalizada de Protobuf en el puerto 8887 para comando y control.

La singularidad del protocolo C&C radica en que está diseñado para utilizar Netty, un marco de aplicación de red, y el Protobuf mencionado anteriormente. Esto también incorpora mensajes bien estructurados. Dentro de la comunicación C&C, el actor de amenazas adopta una estructura integral para incorporar todos los tipos de mensajes y la palabra clave "oneof" para indicar distintas categorías de datos.

Más allá de la eficiencia de Protobuf, la utilización de protocolos personalizados refuerza la evasión contra las herramientas de seguridad de red que normalmente identifican patrones reconocibles de amenazas ya conocidas. Gracias a la versatilidad de Protobuf, los creadores de MMRat tienen la libertad de definir sus estructuras de mensajes y regular los métodos de transmisión de datos. Mientras tanto, su diseño sistemático garantiza que los datos enviados se ajusten a diseños predefinidos, lo que reduce la probabilidad de corrupción al recibirlos.

La amenaza móvil MMRat muestra la creciente complejidad de los troyanos bancarios de Android, donde los ciberdelincuentes combinan hábilmente operaciones discretas con técnicas efectivas de recuperación de datos.