Novo malware MMRat do Android usa o protocolo Protobuf para roubar seus dados
30 de Agosto de 2023

Um novo malware bancário para Android chamado MMRat utiliza um método de comunicação raramente usado, a serialização de dados protobuf, para roubar dados de dispositivos comprometidos de maneira mais eficiente.

O MMRat foi detectado pela primeira vez pela Trend Micro no final de junho de 2023, visando principalmente usuários no sudeste da Ásia e permanecendo indetectável em serviços de varredura antivírus, como o VirusTotal.

Embora os pesquisadores não saibam como o malware é inicialmente promovido às vítimas, eles descobriram que o MMRat é distribuído por meio de sites disfarçados de lojas de aplicativos oficiais.

As vítimas baixam e instalam os aplicativos maliciosos que carregam o MMRat, geralmente imitando um aplicativo oficial do governo ou um aplicativo de namoro, e concedem permissões arriscadas, como acesso ao serviço de acessibilidade do Android durante a instalação.

O malware automaticamente abusa do recurso de Acessibilidade para conceder a si mesmo permissões adicionais que permitirão que ele execute uma ampla gama de ações maliciosas no dispositivo infectado.

Uma vez que o MMRat infecta um dispositivo Android, ele estabelece um canal de comunicação com o servidor C2 e monitora a atividade do dispositivo para descobrir períodos de inatividade.

Durante esse tempo, o ator da ameaça abusa do Serviço de Acessibilidade para acordar o dispositivo remotamente, desbloquear a tela e realizar fraudes bancárias em tempo real.

A capacidade do MMRat de capturar conteúdo de tela em tempo real, e até mesmo seu método mais rudimentar de 'estado do terminal do usuário' que extrai dados de texto exigindo reconstrução, ambos demandam uma transmissão de dados eficiente.

Sem tal eficiência, o desempenho impediria os atores da ameaça de executar fraudes bancárias efetivamente, razão pela qual os autores do MMRat optaram por desenvolver um protocolo Protobuf personalizado para exfiltração de dados.

O MMRat usa um protocolo de servidor de comando e controle (C2) único baseado em protocol buffers (Protobuf) para transferência de dados eficiente, o que é incomum entre os trojans do Android.

Protobuf é um método para serializar dados estruturados desenvolvido pelo Google, semelhante ao XML e ao JSON, mas menor e mais rápido.

O MMRat usa diferentes portas e protocolos para trocar dados com o C2, como HTTP na porta 8080 para exfiltração de dados, RTSP e porta 8554 para transmissão de vídeo, e o Protobuf personalizado na porta 8887 para comando e controle.

"O protocolo C&C, em particular, é único devido à sua personalização baseada no Netty (um framework de aplicação de rede) e o já mencionado Protobuf, completo com estruturas de mensagem bem projetadas", lê-se no relatório da Trend Micro.

"Para a comunicação C&C, o ator da ameaça usa uma estrutura abrangente para representar todos os tipos de mensagem e a palavra-chave "oneof" para representar diferentes tipos de dados".

Além da eficiência do Protobuf, os protocolos personalizados também ajudam os atores da ameaça a evadir a detecção por ferramentas de segurança de rede que procuram padrões comuns de anomalias conhecidas.

A flexibilidade do Protobuf permite que os autores do MMRat definam suas estruturas de mensagem e organizem como os dados são transmitidos.

Ao mesmo tempo, sua natureza estruturada garante que os dados enviados aderem a um esquema predefinido e são menos propensos a serem corrompidos no final do destinatário.

Em conclusão, o MMRat mostra a evolução da sofisticação dos trojans bancários do Android, misturando habilmente a furtividade com a extração eficiente de dados.

Os usuários de Android devem baixar aplicativos apenas do Google Play, verificar as avaliações dos usuários, confiar apenas em editoras conhecidas e ser cautelosos na etapa de instalação, onde são solicitados a conceder permissões de acesso.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...