Un cheval de Troie bancaire Android jusqu’alors non documenté, baptisé MMRat a été observé ciblant les utilisateurs mobiles en Asie du Sud-Est depuis fin juin 2023 pour réquisitionner les appareils à distance et commettre une fraude financière.
« Le malware, nommé d’après son nom de package distinctif com.mm.user, peut capturer les entrées de l’utilisateur et le contenu de l’écran, et peut également contrôler à distance les appareils des victimes grâce à diverses techniques, permettant à ses opérateurs de procéder à une fraude bancaire sur l’appareil de la victime », a déclaré Trend. Micro dit.
Ce qui distingue MMRat des autres du genre, c’est l’utilisation d’un protocole de commande et de contrôle (C2) personnalisé basé sur des tampons de protocole (alias protobuf) pour transférer efficacement de gros volumes de données à partir de combinés compromis, démontrant la sophistication croissante des logiciels malveillants Android.
Les cibles possibles, en fonction du langage utilisé dans les pages de phishing, incluent l’Indonésie, le Vietnam, Singapour et les Philippines.
Le point d’entrée des attaques est un réseau de sites de phishing qui imitent les magasins d’applications officiels, même si la manière dont les victimes sont dirigées vers ces liens est actuellement inconnue. MMRat généralement mascarades en tant que gouvernement officiel ou application de rencontres.
Une fois installée, l’application s’appuie fortement sur le service d’accessibilité Android et l’API MediaProjection, tous deux exploités par un autre cheval de Troie financier Android appelé SpyNote, pour mener à bien ses activités. Le malware est également capable d’abuser de ses autorisations d’accessibilité pour s’accorder d’autres autorisations et modifier les paramètres.
Il configure en outre la persistance pour survivre entre les redémarrages et initie des communications avec un serveur distant pour attendre les instructions et y exfiltrer les résultats de l’exécution de ces commandes. Le cheval de Troie utilise différentes combinaisons de ports et de protocoles pour des fonctions telles que l’exfiltration de données, le streaming vidéo et le contrôle C2.
MMRat possède la capacité de collecter un large éventail de données sur les appareils et d’informations personnelles, notamment la force du signal, l’état de l’écran et les statistiques de la batterie, les applications installées et les listes de contacts. On soupçonne que l’auteur de la menace utilise les détails pour effectuer une sorte de profilage des victimes avant de passer à l’étape suivante.
Certaines des autres fonctionnalités de MMRat incluent l’enregistrement du contenu de l’écran en temps réel et la capture du modèle d’écran de verrouillage afin de permettre à l’acteur malveillant d’accéder à distance à l’appareil de la victime lorsqu’il est verrouillé et n’est pas activement utilisé.
« Le malware MMRat abuse du service d’accessibilité pour contrôler à distance l’appareil de la victime, en effectuant des actions telles que des gestes, en déverrouillant des écrans et en saisissant du texte, entre autres », a déclaré Trend Micro.
« Cela peut être utilisé par des acteurs malveillants, en conjonction avec des informations d’identification volées, pour commettre une fraude bancaire. »
Les attaques se terminent par la suppression de MMRat à la réception de la commande C2 UNINSTALL_APP, qui a généralement lieu après une transaction frauduleuse réussie, supprimant ainsi toute trace d’infection de l’appareil.
Pour atténuer les menaces posées par des logiciels malveillants aussi puissants, il est recommandé aux utilisateurs de télécharger uniquement des applications à partir de sources officielles, d’examiner les critiques des applications et de vérifier les autorisations auxquelles une application demande l’accès avant utilisation.