Un troyano bancario para Android no documentado hasta ahora, denominado MMRata Se ha observado que se dirige a usuarios de dispositivos móviles en el sudeste asiático desde finales de junio de 2023 para controlar de forma remota los dispositivos y realizar fraudes financieros.
«El malware, llamado así por el nombre distintivo de su paquete com.mm.user, puede capturar la entrada del usuario y el contenido de la pantalla, y también puede controlar de forma remota los dispositivos de la víctima a través de diversas técnicas, lo que permite a sus operadores llevar a cabo fraude bancario en el dispositivo de la víctima», Trend Micro dicho.
Lo que distingue a MMRat de otros de su tipo es el uso de un protocolo de comando y control (C2) personalizado basado en buffers de protocolo (también conocido como protobuf) para transferir eficientemente grandes volúmenes de datos desde teléfonos comprometidos, lo que demuestra la creciente sofisticación del malware para Android.
Los posibles objetivos según el idioma utilizado en las páginas de phishing incluyen Indonesia, Vietnam, Singapur y Filipinas.
El punto de entrada de los ataques es una red de sitios de phishing que imitan las tiendas de aplicaciones oficiales, aunque actualmente se desconoce cómo se dirige a las víctimas a estos enlaces. MMRat típicamente mascaradas como un gobierno oficial o una aplicación de citas.
Una vez instalada, la aplicación se basa en gran medida en el servicio de accesibilidad de Android y la API MediaProjection, los cuales han sido aprovechados por otro troyano financiero de Android llamado SpyNote, para llevar a cabo sus actividades. El malware también es capaz de abusar de sus permisos de accesibilidad para concederse otros permisos y modificar configuraciones.
Además, configura la persistencia para sobrevivir entre reinicios e inicia comunicaciones con un servidor remoto para esperar instrucciones y filtrar los resultados de la ejecución de esos comandos. El troyano emplea diferentes combinaciones de puertos y protocolos para funciones como exfiltración de datos, transmisión de video y control C2.
MMRat posee la capacidad de recopilar una amplia gama de datos del dispositivo e información personal, incluida la intensidad de la señal, el estado de la pantalla y las estadísticas de la batería, las aplicaciones instaladas y las listas de contactos. Se sospecha que el actor de la amenaza utiliza los detalles para realizar algún tipo de perfilado de la víctima antes de pasar a la siguiente etapa.
Algunas de las otras características de MMRat incluyen la grabación del contenido de la pantalla en tiempo real y la captura del patrón de la pantalla de bloqueo para permitir que el actor de la amenaza obtenga acceso remoto al dispositivo de la víctima cuando está bloqueado y no está en uso activo.
«El malware MMRat abusa del servicio de Accesibilidad para controlar remotamente el dispositivo de la víctima, realizando acciones como gestos, desbloquear pantallas e ingresar texto, entre otras», dijo Trend Micro.
«Esto puede ser utilizado por actores de amenazas, junto con credenciales robadas, para realizar fraude bancario».
Los ataques terminan con MMRat eliminándose al recibir el comando C2 UNINSTALL_APP, que generalmente ocurre después de una transacción fraudulenta exitosa, eliminando efectivamente todos los rastros de infección del dispositivo.
Para mitigar las amenazas que plantea un malware tan potente, se recomienda que los usuarios solo descarguen aplicaciones de fuentes oficiales, examinen las revisiones de las aplicaciones y verifiquen los permisos a los que una aplicación solicita acceso antes de su uso.