近日有研究人員發(fā)現(xiàn)，MMRat新型安卓銀行惡意軟件利用protobuf 數(shù)據(jù)序列化這種罕見的通信方法入侵設(shè)備竊取數(shù)據(jù)。

趨勢(shì)科技最早是在2023年6月底首次發(fā)現(xiàn)了MMRat，它主要針對(duì)東南亞用戶，在VirusTotal等反病毒掃描服務(wù)中一直未被發(fā)現(xiàn)。

雖然研究人員并不知道該惡意軟件最初是如何向受害者推廣的，但他們發(fā)現(xiàn) MMRat 目前是通過偽裝成官方應(yīng)用程序商店的網(wǎng)站進(jìn)行傳播的。

這些應(yīng)用程序通常會(huì)模仿政府官方應(yīng)用程序或約會(huì)應(yīng)用程序，待受害者下載時(shí)會(huì)自動(dòng)安裝攜帶 MMRat 的惡意應(yīng)用程序，并在安裝過程中授予權(quán)限，如訪問安卓的輔助功能服務(wù)等。

惡意軟件會(huì)自動(dòng)濫用輔助功能，為自己授予額外權(quán)限，從而在受感染設(shè)備上執(zhí)行大量惡意操作。

MMRat 的功能

一旦 MMRat 感染了安卓設(shè)備，它就會(huì)與 C2 服務(wù)器建立通信渠道，并監(jiān)控設(shè)備活動(dòng)以發(fā)現(xiàn)設(shè)備空閑時(shí)間。在此期間，威脅行為者會(huì)濫用可訪問性服務(wù)遠(yuǎn)程喚醒設(shè)備、解鎖屏幕并實(shí)時(shí)進(jìn)行銀行欺詐。

MMRat 的主要功能可歸納為以下幾點(diǎn)：

• 收集網(wǎng)絡(luò)、屏幕和電池信息
• 竊取用戶的聯(lián)系人列表和已安裝的應(yīng)用程序列表
• 通過鍵盤記錄獲取用戶輸入信息
• 通過濫用 MediaProjection API 從設(shè)備上捕獲實(shí)時(shí)屏幕內(nèi)容
• 記錄和實(shí)時(shí)串流攝像頭數(shù)據(jù)
• 以文本轉(zhuǎn)儲(chǔ)形式記錄和轉(zhuǎn)儲(chǔ)屏幕數(shù)據(jù)，并將其外泄到 C2
• 從設(shè)備上卸載，清除所有感染證據(jù)

惡意軟件支持的所有命令，圖源：趨勢(shì)科技

MMRat 能夠捕捉實(shí)時(shí)屏幕內(nèi)容，甚至還能通過更初級(jí)的 "用戶終端狀態(tài) "方法提取需要重構(gòu)的文本數(shù)據(jù)，這都要求高效的數(shù)據(jù)傳輸。

如果沒有這樣的效率，其性能將阻礙威脅行為者有效實(shí)施銀行欺詐，這也是 MMRat 的作者選擇開發(fā)用于數(shù)據(jù)外滲的定制 Protobuf 協(xié)議的原因。

MMRat攻擊鏈，圖源：趨勢(shì)科技

Protobuf的優(yōu)勢(shì)

MMRat 使用基于協(xié)議緩沖區(qū)（Protobuf）的獨(dú)特命令與控制（C2）服務(wù)器協(xié)議來實(shí)現(xiàn)高效數(shù)據(jù)傳輸，這在安卓木馬中并不多見。

Protobuf 是谷歌開發(fā)的一種結(jié)構(gòu)化數(shù)據(jù)序列化方法，類似于 XML 和 JSON，但體積更小、速度更快。

MMRat 使用不同的端口和協(xié)議與 C2 交換數(shù)據(jù)，如 8080 端口的 HTTP 用于數(shù)據(jù)滲出，RTSP 和 8554 端口用于視頻流，8887 端口的自定義 Protobuf 用于命令和控制。

趨勢(shì)科技的報(bào)告指出：C&C協(xié)議尤其獨(dú)特，因?yàn)樗腔贜etty和上文提到的Protobuf定制的，具有精心設(shè)計(jì)的消息結(jié)構(gòu)。

對(duì)于 C&C 通信，威脅行為者使用一個(gè)總體結(jié)構(gòu)來表示所有消息類型，并使用 "oneof "關(guān)鍵字來表示不同的數(shù)據(jù)類型"。

Protobuf模式，圖源：趨勢(shì)科技

除了 Protobuf 的高效性，定制協(xié)議還能幫助威脅行為者躲避網(wǎng)絡(luò)安全工具的檢測(cè)，這些工具會(huì)尋找已知異常的共同模式。

Protobuf的靈活性允許MMRat的作者定義他們的信息結(jié)構(gòu)，并組織數(shù)據(jù)的傳輸方式。同時(shí)，Protobuf 的結(jié)構(gòu)化特性還能確保發(fā)送的數(shù)據(jù)符合預(yù)定義的模式，從而降低在接收端被破壞的可能性。

MMRat凸顯出了安卓銀行木馬不斷發(fā)展的復(fù)雜性，它巧妙地將隱蔽性與高效數(shù)據(jù)提取融為一體。

因此，安卓用戶最好全部在Google Play里下載應(yīng)用 ，查看用戶評(píng)論，并只選擇信譽(yù)良好的軟件發(fā)行商。此外，在安裝應(yīng)用程序階段被要求授予訪問權(quán)限時(shí)須保持謹(jǐn)慎。