Спецпроекты

Безопасность Администратору Техника

Банковский троянец-невидимка научился использовать редкий и интересный протокол

Троянец MMRat замечен в использовании большого количества протоколов соединения, в их числе модификации Protobuf, формата данных, разработанного в Google. Тем самым вредонос может быстро передавать большое количество данных и скрываться от обнаружения.

RAT-невидимка

Эксперты компании Trend Micro опубликовали анализ новой вредоносной программы для платформы Android, которая способна производить мошеннические действия с банковскими ресурсами.

Два обстоятельства особенно привлекают внимание: во-первых, вредонос использует модифицированный протокол обмена данными на основе формата данных Protocol Buffers (сокр. Protobuf); во-вторых, эту программу не видят антивирусы. Сэмплы, загруженные на Virus Total, ни один из представленных там движков не рассматривает как нечто опасное.

Вредонос - банковский троянец получил название MMRat.

По данным Trend Micro, атаки с использованием этого вредоноса начались не позднее конца июня 2023 г. Большая часть жертв - пользователи мобильных устройств на базе Android в Юго-Восточной Азии.

robot_700.jpg
Фото: ru.freepik.com
Троян MMRat замечен в использовании интересного протокола Protobuf, разработанного в Google

Protobuf для оптимизации передачи данных

Как указывается в аналитической публикации Trend Micro модифицированный протокол на базе Protobuf используется в контрольной инфраструктуре троянца для получения команд - и для вывода данных с заражённых устройств.

В оригинале Protobuf - это разработанный в Google формат данных с открытым исходным кодом, который используется для сериализации структурированных данных.

Создатели банковских троянцев очень редко используют что-либо подобное. Однако, этот протокол, как указывают эксперты Trend Micro, повышает производительность вредоноса при передаче больших объёмов данных.

Троянец действительно способен снимать большое количество данных с устройства. В частности, собирать и выводить информацию о сетевых соединениях, экране и сведения о состоянии батареи. Экспортировать списки контактов и установленных приложений. Перехватывать вводимые пользователем данные (через кейлоггинг); в режиме реального времени перехватывать содержимое экрана, для чего используется API MediaProjection, а также записывать и ретранслировать видео с камер устройства. Кроме того, он способен записывать и сбрасывать информацию экрана в форме текстовых дампов, которые затем выводятся на контрольный сервер.

Ну, а кроме того, MMRat позволяет своим операторам удалённо управлять заражённым устройством и производить мошеннические действия с банковскими счётами обладателя смартфона.

Экспертам Trend Micro не удалось выяснить, каким именно образом разработчики троянца продвигают его, и какие методы используют, чтобы заставить пользователей скачать его. Однако известно, что MMRat распространяется через веб-сайты, имитирующие официальные магазины приложений. Официальными считаются не только Google Play, но и собственные магазины крупных вендоров устройств, таких как Samsung, Xiaomi, Realme и т.д.

Всё включено и разрешено

Чаще всего MMRat попадает на смартфон жертвы под видом какого-либо приложения для связи с органами власти или же приложения для знакомств. И первое, что он требует, это выдачи высокорисковых разрешений, в частности к службе специальных возможностей Android (Accessibility Service).

Получив доступ к этой службе, вредонос выдаёт себе дополнительные разрешения на различные ненадлежащие действия.

В дальнейшем троянец некоторое время мониторит периоды, когда устройство активно используется, и когда лежит без дела. Эти данные выводятся на контрольный сервер с тем, чтобы злоумышленники могли использовать удалённый доступ в периоды простоя.

Именно во время простоя операторы троянца и приступают к активным действиям, нацеленным на банковский счёт жертвы.

Использование Protobuf позволяет ускорить вывод данных в тех значительных объёмах, в которых их собирает троянец.

Винегрет из протоколов

Однако в целом MMRat использует сразу несколько различных протоколов - и разные порты - для обмена данными с командным сервером. Например, через порт 8080 данные выводятся по протоколу HTML, через порт 8554 транслируется видео (по протоколу RTSP). Protobuf же используется на порте 8887 - для управления и контроля.

«Протокол управления, в частности, уникален своей модификацией на основе Netty (фреймворка для сетевых приложений) и ранее упомянутого Protobuf вкупе с хорошо настроенными структурами сообщений. Для коммуникаций с управляющим сервером оператор троянца использует комплексную структуру, позволяющую охватить все типы сообщений и ключевое слово "oneof" для представления разных типов данных», - говорится в анализе Trend Micro.

Использование специализированных версий различных протоколов соединений заодно позволяют троянцу - и его операторам - избегать обнаружения со стороны сетевых средств безопасности, которые отслеживают аномалии в типичном поведении программ на устройстве. Возможная тенденция Гибкость протокола Protobuf позволяет операторам MMRat определять структуры их сообщений и организовывать процессы передачи данных.

В то же время его структурированный характер гарантирует, что отправленные данные соответствуют предопределенной схеме и с меньшей вероятностью будут повреждены на стороне получателя.

«MMRat, возможно, первый или один из первых мобильных банковских троянцев, использующих протокол Protobuf наряду с другими, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Однако в целом это далеко не первый случай, когда вредоносное ПО использует этот же протокол. Троянец Emotet, сформировавший одноимённый ботнет, был замечен в использовании модификации Protobuf ещё в 2018 году. В 2020 году специалисты фирмы Proofpoint сообщили, что разные варианты Protobuf используются в разных версиях RAT-троянца FlowCloud, предположительно созданного китайской APT-группировкой TA410. А в начале 2023 года обнаружилось, что функциями Protobuf злоупотребляет кейлогер Snake. Возможно, что теперь и другие разработчики банковских троянцев (для мобильных или традиционных операционных систем, начнут активно пользоваться Protobuf. Хотя, справедливости ради, MMRat сравнительно недолго оставался невидимым для специалистов».

Эксперт добавил, что основной метод защиты от MMRat - не устанавливать на своё устройство ничего лишнего и использовать только приложения, скачанные с Google Play.

Роман Георгиев

Короткая ссылка