MMRat Mobile Malware

Eine aufkommende Android-Banking-Malware namens MMRat nutzt eine ungewöhnliche Kommunikationstechnik namens Protobuf-Datenserialisierung. Dieser Ansatz erhöht die Effizienz der Malware beim Extrahieren von Informationen von gefährdeten Geräten.

MMRat wurde im Juni 2023 von Cybersicherheitsexperten entdeckt und konzentriert sich hauptsächlich auf Benutzer in Südostasien. Obwohl die genaue Methode der ursprünglichen Verbreitung der Malware an potenzielle Opfer unbekannt bleibt, haben Forscher festgestellt, dass sich MMRat über Websites verbreitet, die sich als legitime App-Stores ausgeben.

Die betrügerischen Anwendungen, die die MMRat-Malware enthalten, werden von ahnungslosen Opfern heruntergeladen und installiert. Oftmals geben sich diese Anwendungen als Regierungsanwendungen oder Dating-Plattformen aus. Anschließend fordern die Anwendungen während der Installation den Erhalt wesentlicher Berechtigungen an, einschließlich des Zugriffs auf den Barrierefreiheitsdienst von Android.

Durch die Nutzung der Barrierefreiheitsfunktion sichert sich die Malware automatisch zusätzliche Berechtigungen. Dadurch kann MMRat eine Vielzahl schädlicher Aktivitäten auf dem kompromittierten Gerät ausführen.

Mit MMRat können Cyberkriminelle die Kontrolle über zahlreiche Gerätefunktionen übernehmen

Sobald MMRat Zugriff auf ein Android-Gerät erhält, stellt es eine Kommunikation mit einem C2-Server her und überwacht die Geräteaktivität auf Leerlaufzeiten. Während dieser Zeiträume nutzen Angreifer den Accessibility Service aus, um das Gerät aus der Ferne zu aktivieren, zu entsperren und Bankbetrug in Echtzeit durchzuführen.

Zu den Hauptfunktionen von MMRat gehören das Sammeln von Netzwerk-, Bildschirm- und Batteriedaten, das Herausfiltern von Benutzerkontakten und Anwendungslisten, das Erfassen von Benutzereingaben über Keylogging, das Erfassen von Bildschirminhalten in Echtzeit über die MediaProjection-API, das Aufzeichnen und Live-Streaming von Kameradaten sowie das Ausgeben von Bildschirmdaten in Textform Form auf den C2-Server und deinstalliert sich schließlich selbst, um Spuren der Infektion zu beseitigen.

Die effiziente Datenübertragung von MMRat ist entscheidend für die Fähigkeit, Bildschirminhalte in Echtzeit zu erfassen und Textdaten aus dem „Benutzerterminalstatus“ zu extrahieren. Um effektiven Bankbetrug zu ermöglichen, haben die Autoren der Malware ein benutzerdefiniertes Protobuf-Protokoll zur Datenexfiltration entwickelt.

MMRat nutzt eine ungewöhnliche Kommunikationstechnik, um den Server des Angreifers zu erreichen

MMRat verwendet ein spezielles Command and Control (C2)-Serverprotokoll, das sogenannte Protokollpuffer (Protobuf) nutzt, um eine optimierte Datenübertragung zu ermöglichen – eine Seltenheit im Bereich der Android-Trojaner. Protobuf, eine von Google entwickelte Datenserialisierungstechnik, funktioniert ähnlich wie XML und JSON, ist jedoch kleiner und schneller.

MMRat verwendet verschiedene Ports und Protokolle für seine Interaktionen mit dem C2. Dazu gehören HTTP auf Port 8080 für die Datenexfiltration, RTSP und Port 8554 für Video-Streaming sowie eine personalisierte Protobuf-Implementierung auf Port 8887 für Befehl und Kontrolle.

Die Einzigartigkeit des C&C-Protokolls liegt darin, dass es auf die Verwendung von Netty, einem Netzwerkanwendungs-Framework, und dem zuvor erwähnten Protobuf zugeschnitten ist. Dazu gehören auch gut strukturierte Nachrichten. Innerhalb der C&C-Kommunikation übernimmt der Bedrohungsakteur eine umfassende Struktur, die alle Nachrichtentypen verkörpert, und das Schlüsselwort „oneof“, um unterschiedliche Datenkategorien zu kennzeichnen.

Über die Effizienz von Protobuf hinaus unterstützt die Verwendung benutzerdefinierter Protokolle die Umgehung von Netzwerksicherheitstools, die typischerweise erkennbare Muster bereits bekannter Bedrohungen identifizieren. Dank der Vielseitigkeit von Protobuf haben die Entwickler von MMRat die Freiheit, ihre Nachrichtenstrukturen zu definieren und die Datenübertragungsmethoden zu regulieren. Gleichzeitig garantiert das systematische Design, dass die versendeten Daten vordefinierten Designs entsprechen, wodurch die Wahrscheinlichkeit einer Beschädigung beim Empfang verringert wird.

Die mobile Bedrohung MMRat zeigt die zunehmende Komplexität von Android-Banking-Trojanern, wobei die Cyberkriminellen diskrete Operationen geschickt mit effektiven Datenabruftechniken kombinieren.