Банков троянец започна да използва интересен рядък протокол

Анализ на нов зловреден софтуер, насочен към устройства с Android и способен да извършва измамни действия с банкови ресурси, публикува Trend Micro. От там отчитат две обстоятелства - троянецът, получил името MMRat, използва модифициран протокол за обмен на данни, базиран на Protocol Buffers (съкр. Protobuf), както и че антивирусnите защити не "виждат" тази програма.

Според Trend Micro атаките с този зловреден софтуер са започнали не по-късно от края на юни 2023 г. Повечето от жертвите са потребители на мобилни устройства с Android в Югоизточна Азия. Модифициран протокол, базиран на Protobuf, се използва в контролната инфраструктура на троянеца за получаване на команди и за извеждане на данни от заразени устройства.

Protobuf е формат на данни с отворен код, първоначално разработен от Google, който се използва за сериализиране на структурирани данни. Създателите на банкови троянци много рядко използват подобни платформи. Според eкспертите на Trend Micro обаче този протокол подобрява производителността на зловредния софтуер при прехвърляне на големи количества данни.

MMRat е способен да прихваща голямо количество данни от устройството. По-специално, той събира и извлича информация за мрежовите връзки, за извежданата на екрана информация, и състоянието на батерията. Могат да се извличат още списъци с контакти и инсталирани приложения. Софтуерът прихваща въвежданата чрез клавиатурата информация (чрез т.нар. keylogging), да се заснема съдържанието на екрана в реално време с помощта на MediaProjection API, както да се записва и предава видео от камерите на устройството. В допълнение MMRat може да записва и информация от екрана под формата на текстови дъмпове, които след това се предават на контролен сървър.

Освен това зловредният инструмент дава възможност на операторите си да контролират от разстояние заразените устройства и да извършват действия с банковите сметки на техните собственици.

Експертите на Trend Micro засега не са успели да разберат как точно разработчиците на троянския кон го рекламират и какви методи се използват, за да принудят потребителите да го изтеглят. Известно е обаче, че MMRat се разпространява чрез уебсайтове, които имитират официални магазини за приложения. За такива се счита не само Google Play, но и собствените магазини на големи доставчици на устройства, като Samsung, Xiaomi, Realme и др.

Най-често MMRat попада на смартфона на жертвата под прикритието на някакво приложение за комуникация с властите или приложение за запознанства. И първото нещо, което той изисква, са високорискови привилегии, по-специално Accessibility Service. След като получи достъп до тези функции (предназначени за хора с увреждания), софтуерът си дава допълнителни права.

След това троянецът следи за известно време кога потребителят активно използва устройството. Тези данни се предават към контролния сървър, така че нападателите да могат да използват отдалечен достъп незабелязано. Именно по време на неактивност от стана на потребителя се предприемат активни действия с банковата му сметка.

Според експерти е възможно MMRat да е един от първите троянци, насочени към мобилното банкиране, които използват протокола Protobuf. За зловредните банкови софтуери като цяло обаче това не е новост. Троянецът Emotet например, който формира едноименния ботнет, също използваше Protobuf.