一种新检测到的Android木马通过假冒应用商店感染用户设备,使运营商能够控制设备实施银行欺诈。
这款名为MMRat的木马自6月底以来一直瞄准东南亚的移动用户。MMRat经常伪装成一个官方的政府或约会应用程序,在一个虚假但看起来很有说服力的应用程序商店里,然后在下载和启动后,向受害者展示一个网络钓鱼网站,以获取凭证和个人数据。
这种恶意软件可以捕获用户输入和屏幕内容,也允许攻击者通过各种技术远程控制受害者设备。RAT的最终目标是利用用户的凭据和个人数据窃取他们的银行账户。
研究人员指出,MMRat还具有罕见的性能增强,它使用了基于协议缓冲区(又名Protobuf)的特殊定制命令与控制(C2)协议。这一功能在安卓银行木马中很少见,它可以在传输大量数据时提高性能。
研究人员分析的大多数MMRat样本都来自一系列类似的网络钓鱼网站,这些网站根据目标用户群伪装成各种语言的官方应用商店。然而,研究人员还不清楚攻击者是如何将网络钓鱼链接分发到受害设备的。
安装后,MMRat会向用户请求权限,一旦获得权限,就可以访问设备上的关键数据和功能。一旦完成,它就开始将有关设备的数据(如设备状态、个人数据和键盘记录数据)发送回远程服务器。
这些初始活动之一是针对受害者的联系人和已安装的应用程序列表进行收集,这很可能使攻击者能够发现个人信息,以确保受害者符合特定的配置文件。
例如,受害者可能有符合特定地理条件的联系人,或者安装了特定的应用程序。这些信息可以用于进一步的恶意活动。
该木马严重依赖于两个Android功能,分别是Android Accessibility服务,这个功能用于与攻击者控制的服务器建立远程控制连接,以及MediaProjection API。其主要功能包括捕获用户输入和屏幕内容,以及远程控制受害者的设备。
MMRat的另一个功能允许威胁行为者在设备未使用时远程唤醒设备,解锁屏幕,并使用受害者凭证执行银行欺诈。该帖子称:“同时,威胁行为者还可以启动屏幕捕获,以实现设备屏幕的服务器端可视化。”
一旦启动并运行,MMRat就会自行卸载,从系统中删除所有恶意软件的痕迹。
扫一扫
151
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
