Bill Toulas
Un novedoso malware bancario para Android llamado MMRat utiliza un método de comunicación poco común, la serialización de datos Protobuf, para robar de manera más eficiente información de dispositivos comprometidos.
MMRat fue detectado por primera vez por Trend Micro a finales de junio de 2023, dirigiéndose principalmente a usuarios en el sudeste asiático y manteniéndose indetectado en servicios de escaneo antivirus como VirusTotal.
Si bien los investigadores no saben cómo se promociona inicialmente el malware a las víctimas, descubrieron que MMRat se distribuye a través de sitios web disfrazados de tiendas de aplicaciones oficiales.
Las víctimas descargan e instalan las aplicaciones maliciosas que llevan MMRat, generalmente imitando a una aplicación gubernamental oficial o de citas, y otorgan permisos riesgosos como acceso al servicio de Accesibilidad de Android durante la instalación.
El malware automáticamente abusa de la función de Accesibilidad para otorgarse permisos adicionales que le permitirán realizar una amplia gama de acciones maliciosas en el dispositivo infectado.
Capacidades de MMRat Una vez que MMRat infecta un dispositivo Android, establece un canal de comunicación con el servidor C2 y monitorea la actividad del dispositivo para descubrir períodos de inactividad.
Durante ese tiempo, el actor de amenazas abusa del Servicio de Accesibilidad para despertar el dispositivo de forma remota, desbloquear la pantalla y realizar fraudes bancarios en tiempo real.
Las principales funciones de MMRat se pueden resumir en lo siguiente:
- Recopilar información de red, pantalla y batería.
- Exfiltrar la lista de contactos del usuario y la lista de aplicaciones instaladas.
- Capturar la entrada del usuario a través del keylogging .
- Capturar el contenido de la pantalla en tiempo real del dispositivo abusando de la API de MediaProjection.
- Grabar y transmitir en vivo datos de la cámara Grabar y volcar datos de la pantalla en forma de texto que se exfiltran al C2 Desinstalarse del dispositivo para eliminar toda evidencia de infección
La capacidad de MMRat para capturar contenido de pantalla en tiempo real, e incluso su método más rudimentario de «estado de terminal de usuario» que extrae datos de texto que requieren reconstrucción, ambos requieren una transmisión eficiente de datos.
Sin dicha eficiencia, el rendimiento dificultaría que los actores de amenazas ejecuten fraudes bancarios de manera efectiva, por lo que los autores de MMRat han optado por desarrollar un protocolo Protobuf personalizado para la exfiltración de datos.
Ventaja de Protobuf MMRat utiliza un protocolo único de servidor de comando y control (C2) basado en protocol buffers (Protobuf) para una transferencia eficiente de datos, lo cual es poco común entre los troyanos de Android.
Protobuf es un método para serializar datos estructurados desarrollado por Google, similar a XML y JSON, pero más pequeño y rápido.
MMRat utiliza diferentes puertos y protocolos para intercambiar datos con el C2, como HTTP en el puerto 8080 para la exfiltración de datos, RTSP y el puerto 8554 para la transmisión de video, y Protobuf personalizado en el puerto 8887 para el comando y control.
«El protocolo C&C, en particular, es único debido a su personalización basada en Netty (un marco de aplicación de red) y el Protobuf mencionado anteriormente, con estructuras de mensajes bien diseñadas», según el informe de Trend Micro.
«Para la comunicación C&C, el actor de amenazas utiliza una estructura general para representar todos los tipos de mensajes y la palabra clave «oneof» para representar diferentes tipos de datos».
Además de la eficiencia de Protobuf, los protocolos personalizados también ayudan a los actores de amenazas a evadir la detección por parte de las herramientas de seguridad de red que buscan patrones comunes de anomalías conocidas.
La flexibilidad de Protobuf permite a los autores de MMRat definir sus estructuras de mensajes y organizar cómo se transmite la información. Al mismo tiempo, su naturaleza estructurada asegura que los datos enviados se adhieran a un esquema predefinido y tengan menos probabilidades de corromperse en el extremo del receptor.
En conclusión, MMRat muestra la sofisticación en evolución de los troyanos bancarios de Android, combinando hábilmente el sigilo con una extracción eficiente de datos.
Los usuarios de Android solo deben descargar aplicaciones de Google Play, revisar las opiniones de los usuarios, confiar solo en editores reputados y ser cautelosos en la etapa de instalación cuando se les solicite otorgar permisos de acceso.
