Ранее недокументированный банковский троян Android, получивший название MMRat, был впервые обнаружен компанией Trend Micro в конце июня 2023 года. Он был нацелен в первую очередь на пользователей в Юго-Восточной Азии, однако сейчас вредоносное ПО появилось по всему миру.
Исследователям неизвестно, каким образом вредоносное ПО изначально попадает к пользователям, но они обнаружили, что MMRat распространяется через сайты, замаскированные под официальные магазины приложений.
Пользователи загружают и устанавливают приложения, содержащие MMRat, обычно под видом официальных правительственных приложений или приложений для знакомств, и в процессе установки предоставляют рискованные разрешения, например доступ к службе специальных возможностей Android во время установки.
Вредоносная ПО автоматически злоупотребляет функцией специальных возможностей, предоставляя себе дополнительные разрешения, которые позволяют ей выполнять широкий спектр вредоносных действий на заражённом устройстве.
MMRat способен собирать широкий спектр данных об устройстве и персональную информацию, включая уровень сигнала, состояние экрана и батареи, установленные приложения и списки контактов. Предполагается, что эти данные используются злоумышленниками для составления некоего профиля жертвы перед переходом к следующему этапу.
Среди других возможностей MMRat – запись содержимого экрана в реальном времени, что позволяет злоумышленнику удалённо получить доступ к устройству жертвы, когда оно заблокировано и не используется.
Как только MMRat заражает Android-устройство, он устанавливает канал связи с сервером C2 и отслеживает активность устройства, чтобы обнаружить периоды бездействия.
В течение этого времени злоумышленник злоупотребляет службой специальных возможностей, чтобы удалённо активировать устройство, разблокировать экран и совершить банковское мошенничество в режиме реального времени.
Атаки завершаются удалением MMRat после получения команды C2 UNINSTALL_APP, которая обычно выполняется после успешного проведения мошеннической операции, что позволяет удалить все следы заражения с устройства.
Для снижения угрозы, исходящей от такого мощного вредоносного ПО, пользователям рекомендуется загружать приложения только из официальных источников, внимательно изучать обзоры приложений и проверять разрешения, запрашиваемые приложением, перед использованием.
Материалы: Thehackernews.com