Hackernews 编译,转载请注明出处:
自2023年6月下旬以来,一种名为MMRat的安卓银行木马被发现瞄准东南亚的移动用户,远程控制设备并进行金融欺诈。
该恶意软件以其独特的软件包名称com.mm.user命名,它可以捕获用户输入和屏幕内容,还可以通过各种技术远程控制受害者设备,使其操作员能够在受害者的设备上进行银行欺诈。”Trend Micro公司表示。
MMRat的与众不同之处在于,它使用了一种基于协议缓冲区(又名protobuf)的定制命令与控制(C2)协议,可以有效地从受感染的手机传输大量数据。这表明安卓恶意软件变得越来越复杂了。
根据网络钓鱼页面中使用的语言,该软件可能的目标包括印度尼西亚、越南、新加坡和菲律宾。
MMRat通常伪装成官方政府或约会应用作为它的攻击的入口点,目前尚不清楚受害者是如何被引导到这些链接的。
这款应用严重依赖Android辅助服务和MediaProjection API,而这两种API都被另一款名为SpyNote的Android金融木马所利用。恶意软件还能够滥用其访问权限来授予自己其他权限和修改设置。
紧接着,它会进一步设置持久性,以便在重新启动之间存活下来。然后MMRat会启动与远程服务器的通信以等待指令,并将这些命令的执行结果传回给远程服务器。该木马利用不同的端口和协议组合来实现数据泄露、视频流和C2控制等功能。
MMRat具有收集广泛的设备数据和个人信息的能力,包括信号强度、屏幕状态、电池状态、安装的应用程序和联系人列表。人们怀疑,在进入下一阶段之前,攻击者会利用这些细节来进行某种形式的受害者侧写。
攻击结束后,MMRat会收到C2命令UNINSTALL_APP并删除自己。这通常发生在成功的欺诈交易之后,可以有效地从设备中删除所有感染痕迹。
为了减轻这种强大的恶意软件带来的威胁,建议用户只从官方来源下载应用程序,仔细审查应用程序评论,并在使用前检查应用程序请求访问权限。
消息来源:thehackernews,译者:Linn;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文