Новый Android-троян MMRat использует протокол Protobuf для кражи данных

Екатерина Быстрова 30 Августа 2023 - 09:15

...

Новый Android-троян MMRat использует протокол Protobuf для кражи данных

Новый банковский Android-троян MMRat задействует интересный метод для кражи и передачи злоумышленникам данных жертвы. В частности, примечательно использование протокола Protobuf для сериализации скомпрометированных сведений.

MMRat впервые попался исследователям из Trend Micro в конце июня 2023 года. Что примечательно: вредоносное приложение не детектировали антивирусные движки на площадках вроде VirusTotal.

Согласно наблюдениям специалистов, MMRat распространяется через веб-сайты, замаскированные под легитимные магазины приложений для Android. Троян обычно проникает на устройство под видом госсервисов или софта для онлайн-знакомств.

Как многие подобные вредоносы, MMRat запрашивает доступ к специальным возможностям операционной системы (Accessibility Services), что должно сразу насторожить пользователя.

Как только троян попал на смартфон, он устанавливает связь с командным сервером (C2) и начинает мониторить активность мобильного устройства, чтобы вычислить период простоя.

В такие окна MMRat удалённо выводит девайс из сна (с помощью Accessibility Service), разблокирует дисплей и пытается осуществить несанкционированные переводы денежных средств.

Что может MMRat:

Собирать данные о сети, экране и аккумуляторе;
Извлекать список контактов пользователя и установленных программ;
Выполнять функции кейлогера;
Записывать всё, что происходит на экране через API MediaProjection;
Записывать и даже стримить видео с камеры смартфона;
Передавать данные жертвы на командный сервер;
Деинсталлироваться и вычищать все следы.

Цепочка атаки трояна выглядит так:

Для эффективной передачи скомпрометированных сведений авторы MMRat выбрали протокол Protobuf, что редко можно встретить среди подобных троянов. Protobuf похож по принципу действия на XML и JSON. Google разработала этот протокол для сериализации структурированных данных.

Интересно, что для передачи украденной информации используется порт 8080 и HTTP, а для стриминга видео — RTSP и порт 8554. При этом кастомный Protobuf и порт 8887 задействуется для обмена данным с C2.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 02 Июля 2025 - 17:10

InfoWatch Traffic Monitor Корпорации InfoWatch

InfoWatch Traffic Monitor теперь защищает данные в мессенджере Frisbee

DLP-систему InfoWatch Traffic Monitor интегрировали с корпоративным мессенджером Frisbee. Этот шаг должен усилить контроль за передачей данных внутри компании и помочь предотвратить утечки.

Для взаимодействия двух систем в Frisbee добавили специальный сервис, который отслеживает весь поток сообщений и вложений.

InfoWatch Traffic Monitor анализирует передаваемую информацию и может выявлять нарушения — например, попытку переслать персональные данные или конфиденциальные файлы, будь то текст, документы, архивы или изображения.

Frisbee — это платформа, включающая мессенджер, видеозвонки и видеохостинг, которую можно развернуть на собственных серверах или в выбранном дата-центре.

Интеграция позволяет организациям следить за соблюдением политик информационной безопасности в переписке и при обмене файлами. Как отмечают представители компаний, утечки могут происходить не только умышленно, но и по невнимательности сотрудников — особенно в повседневной рабочей коммуникации.

Новое решение помогает вовремя замечать такие инциденты, не мешая при этом привычным бизнес-процессам.