趋势科技移动应用信誉服务(MARS)团队最近发现了一种全新的、完全未被发现的安卓银行木马，名为MMRat，自2023年6月底以来一直针对东南亚的移动用户。

　　研究人员将此恶意Android银行木马命名为MMRat (趋势科技检测为AndroidOS_MMRat.HRX)，自2023年6月下旬以来一直针对东南亚的移动用户。该恶意软件以其独特包名r命名。可以捕获用户输入和屏蔽内容，还能够最终靠各种技术远程控制受害者设备，使其运营商能够在受害者的设备上实施银行欺诈。

　　此外，MMRat使用基于协议缓冲区(又名Protobuf)的特殊自定义命令与控制(C&C)协议，这是一种用于序列化结构化数据的开源数据格式。这个功能在Android银行木马中很少见到，它在传输大量数据时提高了性能。

　　分析显示，大多数MMRat样本都是从一系列伪装成官方应用商店的类似网络钓鱼网站下载的。这些网站主要在语言上不一样，这表明了MMRat运营商的目标受害者范围。然而，这些网络钓鱼链接到达受害者设备的确切方法目前尚不清楚。

　　越南语和泰语的应用商店页面示例，包含提到应用程序安装提示的文本，第二张截图是对泰国政府实体的恶搞

　　在撰写本文时，该恶意软件在VirusTotal上完全未被发现，这表明用于使其隐蔽技术是成功的。类似的恶意软件，如GigabudRat和Vultur，也利用类似的技术，如键盘记录和屏幕捕获，在攻击阶段取得了显著的反规避效果。

　　3.MMRat开始与远程服务器通信，并发送大量数据，包括设备状态、个人数据和键盘记录数据。

　　当目标设备未被使用时，攻击者可以远程唤醒设备，解锁屏幕，并执行银行欺诈。同时，攻击者还可以启动屏幕捕获，以实现设备屏幕的服务器端可视化。

　　如前所述，MMRat能够捕获用户输入、屏幕内容并远程控制其受害者的设备。它在很大程度上依赖于Android辅助功能服务和MediaProjection API来正常工作。

　　为了避免被发现，MMRat经常伪装成官方政府或约会应用程序，然后在启动时向受害者展示一个网络钓鱼网站。随后，它注册一个接收器，该接收器可以接收系统事件，包括检测系统何时打开和关闭以及重新再启动等。在收到这些事件后，恶意软件启动一个1x1大小的像素活动以确保其持久性。

　　在启动可访问性服务时，MMRat与攻击者控制的服务器建立连接。有必要注意一下的是，MMRat在单个服务器上使用不相同的端口来实现不同的功能：

　　C&C协议特别独特，因为它基于Netty（一种网络应用程序框架）和前面提到的Protobuf进行自定义，并配有精心设计的消息结构。

　　对于C&C通信，攻击者使用一个总体结构来表示所有消息类型，并使用“oneof”关键字来表示不同的数据类型。研究人员仔细地重构了C&C通信中使用的主要Protobuf模式，如下图所示。

　　“PackType”是一个枚举结构，可用于表示C&C命令，而“pack”字段包含不同C&C命令对应的详细数据。

　　下图显示了恶意软件使用的已定义的C&C命令及其相应的描述。由于涉及双向通信，我们将C&C命令分为服务器命令和客户端命令。服务器命令发送给客户端，客户端命令发送给服务器。

　　MMRat收集大量的设备状态和个人数据，这中间还包括网络数据、屏幕数据、电池数据、安装的应用程序和联系人列表。

　　2.屏幕数据包括屏幕是否被锁定、当前正在使用的应用程序以及当前屏幕上显示的活动等信息。

　　为了及时收集这一些数据，MMRat安排了一个每秒执行一次的计时器任务，同时还使用一个每60秒重置一次的计数器来确定何时执行不同的任务。

　　MMRat专对于受害者的联系人和已安装的应用程序列表进行收集。研究人员认为，攻击者的目标是盗取个人隐私信息，以确保受害者符合攻击目标的设定。例如，受害者可能有符合特定地理条件的联系人，或者安装了特定的应用程序。然后，这一些信息能够适用于进一步的恶意活动。

　　一旦授予了可访问性权限，MMRat就可以滥用它来授予自己其他权限并修改设置。例如，在前面的数据收集阶段，MMRat可以自动授予自己READ_CONTACTS权限来收集联系人数据。

　　上图中的代码片段显示了MMRat如何自动获得权限。它通过启动系统对话框并自动批准传入的权限请求来实现这一点。自动审批功能是通过在屏幕上找到“ok”或相关关键词，并使用可访问功能模拟点击来实现的。这在某种程度上预示着MMRat可以绕过用户干预，并授予自己执行恶意活动所需的权限。

　　MMRat滥用可访问性服务，通过键盘记录捕获用户输入和操作。这一些数据可用于获取受害者的凭证，并记录受害者的操作，以便稍后在设备上回放。

　　与其他专注于特定场景的键盘记录恶意软件不同，例如只在受害者使用银行应用程序时记录键盘操作，MMRat记录用户操作的每个动作，并通过C&C通道将它们上传到服务器。MMRat背后的攻击者似乎想要从受害者那里收集大量的操作日志，以确定恶意软件的下一步行动。

　　除了传统的键盘记录外，该恶意软件还对锁屏模式特别感兴趣。如果检测到用户正在解锁设备，恶意软件会收集模式值，并通过命令与控制通道上传到服务器。这使得攻击者可以访问受害者的设备，即使它是锁定的。

　　MMRat可以捕获受害者设备的实时屏幕内容，并将内容流程传输到远程服务器。为了捕获屏幕内容，恶意软件主要依赖于MediaProjection API来记录受害者的屏幕。然而，我们还发现恶意软件使用另一种方法获取屏幕内容并绕过FLAG_SECURE保护，恶意软件将其称为“用户终端状态”。

　　根据观察，我们大家都认为屏幕内容捕获功能与远程控制功能结合使用，因此攻击者可以在进行银行欺诈时查看设备的实时状态。我们得知，恶意软件不会捕获凭证，而是会不断检查命令，如果在30秒内没有收到命令，它会停止屏幕内容流程。

　　为了方便地使用MediaProjection API并将视频数据流式传输到远程服务器，MMRat滥用了一个名为rtmp-rtsp-stream-client-java的开源框架。这使得它可以记录屏幕并通过实时流媒体协议(RTSP)将实时视频数据流传输到远程服务器。在接收到MEDIA_STREAM命令后，MMRat能够准确的通过发布的配置记录两种类型的数据：屏幕和相机数据。

　　例如，当记录屏幕数据时，MMRat启动一个名为DisplayActivity的活动。该活动通过调用createScreenCaptureIntent请求记录权限，该操作会触发系统对话框弹出窗口以授予权限。如上所述，系统对话框是通过自动点击自动批准的。

　　一旦录制请求获得批准，MMRat就开始录制屏幕，并通过调用开源框架存储库提供的API startStream将数据流式传输到C&C服务器。

　　捕获屏幕内容的所谓“用户终端状态”方法与使用MediaProjection API的方法大不相同。顾名思义，MMRat并不将录屏为视频。相反，它滥用可访问服务，每秒递归地转储窗口中的所有子节点，并通过C&C通道上传转储的数据。因此，结果只包含文本信息而没有图形用户界面，因此类似于“终端”。

　　尽管该方法有些粗糙，并且需要攻击者在服务器端进行额外的工作来重建数据，但它在收集远程检查和控制所需的信息(例如，用于点击和输入的节点信息)方面很有效。由于这种方法不依赖于MediaProjection API，它可以绕过FLAG_SECURE的保护，FLAG_SECURE是一个能添加到窗口参数以防止截屏和录屏的标志。

　　此外，使用Protobuf和基于Netty的自定义协议增强了性能。这在及时传输大量屏幕数据时特别有用，为攻击者提供类似视频流的效果。

　　MMRat恶意软件滥用无障碍服务来远程控制受害者的设备，执行诸如手势、解锁屏幕和输入文本等操作。这可以被威胁行为者用来进行银行欺诈，再加上被盗的凭据。

　　正如“MMRat如何执行银行欺诈”一节所述，研究人员认为，即使在执行其远程访问例程之前，MMRat也会执行逃避流程：

　　MMRat恶意软件具有在接收到C&C命令UNINSTALL_APP时将其自身删除的能力。这种行为通常发生在银行欺诈实施之后，使追踪其活动变得更困难。

　　MMRat是一个强大的Android银行木马，对手机用户构成了相当大的威胁，特别是在东南亚。它的关键功能，包括键盘记录、录屏和远程控制访问，使它可以有明显效果地地执行银行欺诈。

　　1. 只从官方商店下载应用程序，MMRat通常是从冒充官方应用商店的钓鱼网站下载的。

　　4.在授予可访问性权限时要谨慎。MMRat利用Android的无障碍服务来进行恶意活动，始终仔细检查应用程序请求的权限。

　　6.对你的个人和银行信息保持警惕，MMRat的目标是实施银行欺诈，所以要小心你在网上分享的信息和你提供给应用程序的数据。

上一篇:运用试客手机app
下一篇:运用试客（多点ASO）打造试客611“运用狂欢节”助力登顶Top1