マルチライセンス割引
Threat Database Mobile Malware MMRat モバイル マルウェア

MMRat モバイル マルウェア

Mobile Malware, Remote Administration ToolsMezoまで
翻訳内容:
日本語

MMRat と呼ばれる新興の Android バンキング マルウェアは、protobuf データ シリアル化として知られる珍しい通信技術を採用しています。このアプローチにより、マルウェアが侵害されたデバイスから情報を抽出する効率が向上します。

2023 年 6 月にサイバーセキュリティ専門家によって発見された MMRat は、主に東南アジアにいるユーザーをターゲットにしています。このマルウェアが潜在的な被害者に最初に拡散した正確な方法は依然として不明ですが、研究者らは、MMRat が正規のアプリ ストアを装った Web サイトを通じて拡散することを特定しました。

MMRat マルウェアを運ぶ不正なアプリケーションは、何も知らない被害者によってダウンロードされ、インストールされます。多くの場合、これらのアプリケーションは政府のアプリケーションや出会い系プラットフォームになりすましています。その後、インストール中に、アプリケーションは Android のアクセシビリティ サービスへのアクセスを含む、重要な権限の受け取りを要求します。

アクセシビリティ機能を利用することで、マルウェアはそれ自体に追加のアクセス許可を自動的に確保します。これにより、MMRat は侵害されたデバイス上でさまざまな有害なアクティビティを実行できるようになります。

MMRat によりサイバー犯罪者は多数のデバイス機能を制御できるようになる

MMRat が Android デバイスにアクセスできるようになると、C2 サーバーとの通信を確立し、アイドル期間中のデバイスのアクティビティを監視します。これらの間隔中に、攻撃者はアクセシビリティ サービスを悪用して、リモートでデバイスを起動し、ロックを解除し、リアルタイムの銀行詐欺を実行します。

MMRat の主な機能には、ネットワーク、画面、バッテリー データの収集、ユーザーの連絡先とアプリケーション リストの抽出、キーロギングによるユーザー入力のキャプチャ、MediaProjection API を介したリアルタイム画面コンテンツの取得、カメラ データの記録とライブ ストリーミング、テキストでの画面データのダンプなどが含まれます。フォームを C2 サーバーに送信し、最終的にはそれ自体をアンインストールして感染の痕跡を消去します。

MMRat の効率的なデータ送信は、リアルタイムの画面コンテンツをキャプチャし、「ユーザー端末の状態」からテキスト データを抽出する機能にとって不可欠です。効果的な銀行詐欺を可能にするために、マルウェアの作成者はデータ漏洩用のカスタム Protobuf プロトコルを設計しました。

MMRat は異常な通信技術を利用して攻撃者のサーバーにアクセスします

MMRat は、プロトコル バッファー (Protobuf) として知られるものを利用する独自のコマンド アンド コントロール (C2) サーバー プロトコルを採用し、Android トロイの木馬の分野では珍しい、合理化されたデータ転送を促進します。 Google が開発したデータシリアル化技術である Protobuf は、XML や JSON と同様に機能しますが、フットプリントがより小さく、より高速です。

MMRat は、C2 との通信にさまざまなポートとプロトコルを使用します。これらには、データ抽出用のポート 8080 での HTTP、ビデオ ストリーミング用の RTSP およびポート 8554、コマンド アンド コントロール用のポート 8887 でのパーソナライズされた Protobuf 実装が含まれます。

C&C プロトコルの独自性は、Netty、ネットワーク アプリケーション フレームワーク、および前述の Protobuf を使用するように調整されていることです。これには、適切に構造化されたメッセージも組み込まれています。 C&C 通信内で、脅威アクターは、すべてのメッセージ タイプと、個別のデータ カテゴリを示す「oneof」キーワードを具体化する包括的な構造を採用します。

Protobuf の効率性を超えて、カスタム プロトコルの利用により、通常、既知の脅威の認識可能なパターンを識別するネットワーク セキュリティ ツールに対する回避が強化されます。 Protobuf の多用途性のおかげで、MMRat の作成者はメッセージ構造を定義し、データ送信方法を規制することができます。一方、その体系的な設計により、ディスパッチされたデータが事前定義された設計に準拠していることが保証され、受信時のデータ破損の可能性が軽減されます。

MMRat モバイルの脅威は、サイバー犯罪者が慎重な作戦と効果的なデータ取得技術を巧みに組み合わせていることにより、Android バンキング型トロイの木馬の複雑さが進化していることを示しています。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...