Исследователи кибербезопасности из Trend Micro недавно обнаружили нового мобильного трояна, использующего инновационный метод связи.
Этот метод, получивший название сериализации данных Protobuf, облегчает кражу конфиденциальных данных со скомпрометированных конечных точек.
В его отчетПо данным Trend Micro, вредоносное ПО было впервые обнаружено в июне 2023 года и в первую очередь нацелено на пользователей в Юго-Восточной Азии. Исследователи назвали его MMRat и заявили, что VirusTotal и аналогичные службы AV-сканирования не определили его как вредоносный при первом обнаружении.
ММРат
MMRat способен выполнять различные вредоносные действия: от сбора данных о сети, экране и аккумуляторе до кражи списков контактов. от кейлогинга до захвата содержимого экрана в реальном времени, а также от записи и потоковой передачи данных камеры в реальном времени до записи и вывода данных экрана в текстовой форме. Наконец, при необходимости MMRat может удалить себя.
Возможность захвата содержимого экрана в режиме реального времени требует эффективной передачи данных, и именно здесь протокол Protobuf демонстрирует свои преимущества. Судя по всему, это специальный протокол кражи данных, который использует разные порты и протоколы для обмена данными с C2.
«Протокол C&C особенно уникален благодаря своей адаптации на основе Netty (инфраструктуры сетевых приложений) и вышеупомянутого Protobuf, дополненной хорошо продуманными структурами сообщений», — говорится в отчете Trend Micro. «Для связи с командным центром злоумышленник использует всеобъемлющую структуру для представления всех типов сообщений и ключевое слово oneof для представления различных типов данных».
Исследователи обнаружили вредоносное ПО, скрывающееся в поддельных магазинах мобильных приложений, выдающих себя за правительственные приложения или приложения для знакомств. Хотя они описали все усилия как «требовательные», стоит отметить, что приложения по-прежнему запрашивают разрешения в службе специальных возможностей Android — обычный красный флаг и явный признак того, что приложение является вредоносным.
В конечном итоге, если жертвы откажутся предоставить эти разрешения, вредоносное ПО станет бесполезным.
