Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Oct 19, 2023
Nuovo trojan Android 'MMRat' che prende di mira gli utenti del sud-est asiatico
Il trojan Android MMRat recentemente identificato ha preso di mira gli utenti del sud-est asiatico per controllare da remoto i dispositivi ed eseguire frodi bancarie. Di Flipboard Reddit Pinterest Whatsapp Whatsapp Email A new
Il trojan Android MMRat recentemente identificato ha preso di mira gli utenti del sud-est asiatico per controllare da remoto i dispositivi ed eseguire frodi bancarie.
Di
Un trojan Android recentemente identificato che prende di mira gli utenti nel sud-est asiatico sta consentendo agli aggressori di controllare i dispositivi da remoto e commettere frodi bancarie, riferisce Trend Micro.
Soprannominato MMRat e attivo da giugno, il malware può catturare l'input dell'utente e acquisire screenshot e utilizza un protocollo di comando e controllo (C&C) personalizzato basato su Protobuf, che migliora le sue prestazioni durante il trasferimento di grandi quantità di dati.
Il malware è stato distribuito tramite siti web mascherati da store di applicazioni ufficiali e realizzati in diverse lingue, tra cui vietnamita e tailandese. Tuttavia, non è chiaro come i collegamenti a questi siti vengano distribuiti alle vittime designate.
Dopo l'installazione, MMRat chiede alla vittima di abilitare le autorizzazioni necessarie e inizia a comunicare con il suo C&C, inviando informazioni sul dispositivo e acquisendo l'input dell'utente. Se le autorizzazioni di accessibilità sono abilitate, la minaccia può modificare le impostazioni e concedersi più autorizzazioni.
Il malware segnala ai suoi operatori quando il dispositivo non è in uso, in modo che possano sbloccarlo per commettere frodi bancarie e inizializzare la cattura dello schermo.
Il malware quindi si disinstalla, rimuovendo ogni traccia di infezione dal dispositivo. MMRat è stato anche visto spacciarsi per un governo ufficiale o per un'applicazione di appuntamenti, per evitare sospetti da parte degli utenti.
“Successivamente, registra un ricevitore in grado di ricevere eventi di sistema, inclusa la capacità di rilevare quando il sistema si accende, si spegne e si riavvia, tra gli altri. Alla ricezione di questi eventi, il malware avvia un’attività pixel di dimensioni 1×1 per garantirne la persistenza”, spiega Trend Micro.
Il malware è stato visto avviare il servizio di accessibilità e inizializzare la comunicazione del server su tre porte, per l'esfiltrazione di dati, lo streaming video e C&C.
In base ai comandi ricevuti dal server, il malware può eseguire gesti e azioni globali, inviare messaggi di testo, sbloccare lo schermo tramite password, inserire password nelle applicazioni, fare clic sullo schermo, acquisire video dello schermo o della fotocamera, abilitare il microfono, svegliarsi il dispositivo ed eliminarsi.
MMRat può raccogliere un'ampia gamma di dati del dispositivo e informazioni personali, inclusi dati di rete, schermo e batteria, applicazioni installate ed elenchi di contatti.
“Crediamo che l’obiettivo dell’autore della minaccia sia quello di scoprire informazioni personali per garantire che la vittima rientri in un profilo specifico. Ad esempio, la vittima potrebbe avere contatti che soddisfano determinati criteri geografici o avere installata un'app specifica. Queste informazioni possono quindi essere utilizzate per ulteriori attività dannose”, osserva Trend Micro.
Secondo Trend Micro, la funzionalità di cattura dello schermo viene probabilmente utilizzata insieme al controllo remoto, consentendo all'autore della minaccia di visualizzare lo stato in tempo reale del dispositivo durante l'esecuzione di una frode bancaria. Il malware utilizza anche l'API MediaProjection per acquisire il contenuto dello schermo e trasmettere i dati video al server C&C.
Il malware utilizza anche un approccio di "stato del terminale utente" per acquisire i dati dello schermo, in cui solo le informazioni di testo vengono inviate al server, senza l'interfaccia utente grafica, simile a un terminale.
Imparentato:Il trojan bancario Anatsa distribuito tramite Google Play prende di mira gli utenti Android negli Stati Uniti e in Europa
Imparentato:App Android con 50.000 download su Google Play trasformata in spyware tramite aggiornamento
Imparentato:Nuovi trojan Android hanno infettato numerosi dispositivi in Asia tramite Google Play e phishing
Ionut Arghire è un corrispondente internazionale di SecurityWeek.
Iscriviti al briefing via e-mail di SecurityWeek per rimanere informato sulle ultime minacce, tendenze e tecnologie, insieme a colonne approfondite di esperti del settore.
Unisciti agli esperti di sicurezza mentre discutono del potenziale non sfruttato di ZTNA sia per ridurre il rischio informatico che per potenziare l'azienda.