近日有研究人員發(fā)現(xiàn)，MMRat新型安卓銀行惡意軟件利用protobuf 數(shù)據(jù)序列化這種罕見的通信方法入侵設(shè)備竊取數(shù)據(jù)。

趨勢科技最早是在2023年6月底首次發(fā)現(xiàn)了MMRat，它主要針對東南亞用戶，在VirusTotal等反病毒掃描服務(wù)中一直未被發(fā)現(xiàn)。

雖然研究人員并不知道該惡意軟件最初是如何向受害者推廣的，但他們發(fā)現(xiàn) MMRat 目前是通過偽裝成官方應(yīng)用程序商店的網(wǎng)站進行傳播的。

這些應(yīng)用程序通常會模仿政府官方應(yīng)用程序或約會應(yīng)用程序，待受害者下載時會自動安裝攜帶 MMRat 的惡意應(yīng)用程序，并在安裝過程中授予權(quán)限，如訪問安卓的輔助功能服務(wù)等。

惡意軟件會自動濫用輔助功能，為自己授予額外權(quán)限，從而在受感染設(shè)備上執(zhí)行大量惡意操作。

MMRat 的功能

一旦 MMRat 感染了安卓設(shè)備，它就會與 C2 服務(wù)器建立通信渠道，并監(jiān)控設(shè)備活動以發(fā)現(xiàn)設(shè)備空閑時間。在此期間，威脅行為者會濫用可訪問性服務(wù)遠程喚醒設(shè)備、解鎖屏幕并實時進行銀行欺詐。

MMRat 的主要功能可歸納為以下幾點：

• 收集網(wǎng)絡(luò)、屏幕和電池信息
• 竊取用戶的聯(lián)系人列表和已安裝的應(yīng)用程序列表
• 通過鍵盤記錄獲取用戶輸入信息
• 通過濫用 MediaProjection API 從設(shè)備上捕獲實時屏幕內(nèi)容
• 記錄和實時串流攝像頭數(shù)據(jù)
• 以文本轉(zhuǎn)儲形式記錄和轉(zhuǎn)儲屏幕數(shù)據(jù)，并將其外泄到 C2
• 從設(shè)備上卸載，清除所有感染證據(jù)

惡意軟件支持的所有命令，圖源：趨勢科技

MMRat 能夠捕捉實時屏幕內(nèi)容，甚至還能通過更初級的 "用戶終端狀態(tài) "方法提取需要重構(gòu)的文本數(shù)據(jù)，這都要求高效的數(shù)據(jù)傳輸。

如果沒有這樣的效率，其性能將阻礙威脅行為者有效實施銀行欺詐，這也是 MMRat 的作者選擇開發(fā)用于數(shù)據(jù)外滲的定制 Protobuf 協(xié)議的原因。

MMRat攻擊鏈，圖源：趨勢科技

Protobuf的優(yōu)勢

MMRat 使用基于協(xié)議緩沖區(qū)（Protobuf）的獨特命令與控制（C2）服務(wù)器協(xié)議來實現(xiàn)高效數(shù)據(jù)傳輸，這在安卓木馬中并不多見。

Protobuf 是谷歌開發(fā)的一種結(jié)構(gòu)化數(shù)據(jù)序列化方法，類似于 XML 和 JSON，但體積更小、速度更快。

MMRat 使用不同的端口和協(xié)議與 C2 交換數(shù)據(jù)，如 8080 端口的 HTTP 用于數(shù)據(jù)滲出，RTSP 和 8554 端口用于視頻流，8887 端口的自定義 Protobuf 用于命令和控制。

趨勢科技的報告指出：C&C協(xié)議尤其獨特，因為它是基于Netty和上文提到的Protobuf定制的，具有精心設(shè)計的消息結(jié)構(gòu)。

對于 C&C 通信，威脅行為者使用一個總體結(jié)構(gòu)來表示所有消息類型，并使用 "oneof "關(guān)鍵字來表示不同的數(shù)據(jù)類型"。

Protobuf模式，圖源：趨勢科技

除了 Protobuf 的高效性，定制協(xié)議還能幫助威脅行為者躲避網(wǎng)絡(luò)安全工具的檢測，這些工具會尋找已知異常的共同模式。

Protobuf的靈活性允許MMRat的作者定義他們的信息結(jié)構(gòu)，并組織數(shù)據(jù)的傳輸方式。同時，Protobuf 的結(jié)構(gòu)化特性還能確保發(fā)送的數(shù)據(jù)符合預(yù)定義的模式，從而降低在接收端被破壞的可能性。

MMRat凸顯出了安卓銀行木馬不斷發(fā)展的復(fù)雜性，它巧妙地將隱蔽性與高效數(shù)據(jù)提取融為一體。

因此，安卓用戶最好全部在Google Play里下載應(yīng)用 ，查看用戶評論，并只選擇信譽良好的軟件發(fā)行商。此外，在安裝應(yīng)用程序階段被要求授予訪問權(quán)限時須保持謹慎。