Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Дом
Oct 19, 2023
Новый Android-троян MMRat нацелен на пользователей в Юго-Восточной Азии
Недавно обнаруженный Android-троян MMRat нацелен на пользователей в Юго-Восточной Азии для удаленного управления устройствами и совершения банковских мошенничеств. От Flipboard Reddit Pinterest Whatsapp Whatsapp Электронная почта недавно
Недавно обнаруженный Android-троян MMRat нацелен на пользователей в Юго-Восточной Азии для удаленного управления устройствами и совершения банковских мошенничеств.
К
Флипборд
Реддит
Пинтерест
Электронная почта
Недавно обнаруженный троян Android, нацеленный на пользователей в Юго-Восточной Азии, позволяет злоумышленникам удаленно управлять устройствами и совершать банковские мошенничества, сообщает Trend Micro.
Вредоносное ПО, получившее название MMRat и действующее с июня, может захватывать вводимые пользователем данные и делать снимки экрана, а также использует настраиваемый протокол управления и контроля (C&C), основанный на Protobuf, который повышает его производительность при передаче больших объемов данных.
Вредоносное ПО распространялось через веб-сайты, маскирующиеся под официальные магазины приложений и адаптированные на разных языках, включая вьетнамский и тайский. Однако неясно, как ссылки на эти сайты распространяются среди предполагаемых жертв.
После установки MMRat просит жертву включить необходимые разрешения и начинает общаться со своим C&C, отправляя информацию об устройстве и записывая вводимые пользователем данные. Если разрешения на доступность включены, угроза может изменить настройки и предоставить себе дополнительные разрешения.
Вредоносная программа сигнализирует своим операторам, когда устройство не используется, чтобы они могли разблокировать его для совершения банковского мошенничества и инициализировать снимок экрана.
Затем вредоносная программа удаляется сама, удаляя с устройства все следы заражения. MMRat также выдавал себя за официальное правительственное приложение или приложение для знакомств, чтобы избежать подозрений пользователей.
«Впоследствии он регистрирует приемник, который может получать системные события, включая способность определять, когда система включается и выключается, а также перезагружается, среди прочего. При получении этих событий вредоносное ПО запускает активность пикселя размером 1×1, чтобы обеспечить свою устойчивость», — поясняет Trend Micro.
Было замечено, что вредоносное ПО запускает службу специальных возможностей и инициализирует связь с сервером по трем портам для кражи данных, потоковой передачи видео и управления сервером.
На основе команд, полученных от сервера, вредоносная программа может выполнять жесты и глобальные действия, отправлять текстовые сообщения, разблокировать экран с помощью пароля, вводить пароли в приложениях, нажимать на экран, снимать видео с экрана или камеры, включать микрофон, просыпаться. устройство и удалить себя.
MMRat может собирать широкий спектр данных об устройствах и личную информацию, включая данные о сети, экране и батарее, установленные приложения и списки контактов.
«Мы считаем, что цель злоумышленника — раскрыть личную информацию, чтобы убедиться, что жертва соответствует определенному профилю. Например, у жертвы могут быть контакты, соответствующие определенным географическим критериям, или у нее может быть установлено определенное приложение. Эта информация затем может быть использована для дальнейших вредоносных действий», — отмечает Trend Micro.
По данным Trend Micro, возможность захвата экрана, скорее всего, используется в сочетании с дистанционным управлением, что позволяет злоумышленнику просматривать текущий статус устройства при совершении банковского мошенничества. Вредоносная программа также использует API MediaProjection для захвата содержимого экрана и потоковой передачи видеоданных на командный сервер.
Вредоносное ПО также использует подход «состояния пользовательского терминала» для захвата данных экрана, при котором на сервер отправляется только текстовая информация без графического пользовательского интерфейса, напоминающего терминал.
Связанный:Банковский троян Anatsa, доставленный через Google Play, нацелен на пользователей Android в США и Европе
Связанный:Android-приложение с 50 000 загрузок в Google Play превратилось в шпионское ПО после обновления
Связанный:Новые Android-трояны заразили множество устройств в Азии через Google Play и фишинг
Йонут Аргире — международный корреспондент SecurityWeek.
Подпишитесь на брифинг по электронной почте SecurityWeek, чтобы быть в курсе последних угроз, тенденций и технологий, а также получать полезные колонки от экспертов отрасли.
Присоединяйтесь к экспертам по безопасности, которые обсуждают неиспользованный потенциал ZTNA как по снижению киберрисков, так и по расширению возможностей бизнеса.