Um novo malware bancário para Android chamado MMRat utiliza um método de comunicação raramente usado, a serialização de dados protobuf, para roubar dados de dispositivos comprometidos de maneira mais eficiente.
O MMRat foi detectado pela primeira vez pela Trend Micro no final de junho de 2023, visando principalmente usuários no sudeste da Ásia e permanecendo indetectável em serviços de varredura antivírus, como o VirusTotal.
Embora os pesquisadores não saibam como o malware é inicialmente promovido às vítimas, eles descobriram que o MMRat é distribuído por meio de sites disfarçados de lojas de aplicativos oficiais.
As vítimas baixam e instalam os aplicativos maliciosos que carregam o MMRat, geralmente imitando um aplicativo oficial do governo ou um aplicativo de namoro, e concedem permissões arriscadas, como acesso ao serviço de acessibilidade do Android durante a instalação.
O malware automaticamente abusa do recurso de Acessibilidade para conceder a si mesmo permissões adicionais que permitirão que ele execute uma ampla gama de ações maliciosas no dispositivo infectado.
Uma vez que o MMRat infecta um dispositivo Android, ele estabelece um canal de comunicação com o servidor C2 e monitora a atividade do dispositivo para descobrir períodos de inatividade.
Durante esse tempo, o ator da ameaça abusa do Serviço de Acessibilidade para acordar o dispositivo remotamente, desbloquear a tela e realizar fraudes bancárias em tempo real.
A capacidade do MMRat de capturar conteúdo de tela em tempo real, e até mesmo seu método mais rudimentar de 'estado do terminal do usuário' que extrai dados de texto exigindo reconstrução, ambos demandam uma transmissão de dados eficiente.
Sem tal eficiência, o desempenho impediria os atores da ameaça de executar fraudes bancárias efetivamente, razão pela qual os autores do MMRat optaram por desenvolver um protocolo Protobuf personalizado para exfiltração de dados.
O MMRat usa um protocolo de servidor de comando e controle (C2) único baseado em protocol buffers (Protobuf) para transferência de dados eficiente, o que é incomum entre os trojans do Android.
Protobuf é um método para serializar dados estruturados desenvolvido pelo Google, semelhante ao XML e ao JSON, mas menor e mais rápido.
O MMRat usa diferentes portas e protocolos para trocar dados com o C2, como HTTP na porta 8080 para exfiltração de dados, RTSP e porta 8554 para transmissão de vídeo, e o Protobuf personalizado na porta 8887 para comando e controle.
"O protocolo C&C, em particular, é único devido à sua personalização baseada no Netty (um framework de aplicação de rede) e o já mencionado Protobuf, completo com estruturas de mensagem bem projetadas", lê-se no relatório da Trend Micro.
"Para a comunicação C&C, o ator da ameaça usa uma estrutura abrangente para representar todos os tipos de mensagem e a palavra-chave "oneof" para representar diferentes tipos de dados".
Além da eficiência do Protobuf, os protocolos personalizados também ajudam os atores da ameaça a evadir a detecção por ferramentas de segurança de rede que procuram padrões comuns de anomalias conhecidas.
A flexibilidade do Protobuf permite que os autores do MMRat definam suas estruturas de mensagem e organizem como os dados são transmitidos.
Ao mesmo tempo, sua natureza estruturada garante que os dados enviados aderem a um esquema predefinido e são menos propensos a serem corrompidos no final do destinatário.
Em conclusão, o MMRat mostra a evolução da sofisticação dos trojans bancários do Android, misturando habilmente a furtividade com a extração eficiente de dados.
Os usuários de Android devem baixar aplicativos apenas do Google Play, verificar as avaliações dos usuários, confiar apenas em editoras conhecidas e ser cautelosos na etapa de instalação, onde são solicitados a conceder permissões de acesso.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...