Новый Android-троян MMRat использует протокол Protobuf для кражи данных
Главная » Новости

Новый Android-троян MMRat использует протокол Protobuf для кражи данных

Екатерина Быстрова 30 Августа 2023 - 09:15
...
Новый Android-троян MMRat использует протокол Protobuf для кражи данных

Новый банковский Android-троян MMRat задействует интересный метод для кражи и передачи злоумышленникам данных жертвы. В частности, примечательно использование протокола Protobuf для сериализации скомпрометированных сведений.

MMRat впервые попался исследователям из Trend Micro в конце июня 2023 года. Что примечательно: вредоносное приложение не детектировали антивирусные движки на площадках вроде VirusTotal.

Согласно наблюдениям специалистов, MMRat распространяется через веб-сайты, замаскированные под легитимные магазины приложений для Android. Троян обычно проникает на устройство под видом госсервисов или софта для онлайн-знакомств.

Как многие подобные вредоносы, MMRat запрашивает доступ к специальным возможностям операционной системы (Accessibility Services), что должно сразу насторожить пользователя.

Как только троян попал на смартфон, он устанавливает связь с командным сервером (C2) и начинает мониторить активность мобильного устройства, чтобы вычислить период простоя.

В такие окна MMRat удалённо выводит девайс из сна (с помощью Accessibility Service), разблокирует дисплей и пытается осуществить несанкционированные переводы денежных средств.

Что может MMRat:

  • Собирать данные о сети, экране и аккумуляторе;
  • Извлекать список контактов пользователя и установленных программ;
  • Выполнять функции кейлогера;
  • Записывать всё, что происходит на экране через API MediaProjection;
  • Записывать и даже стримить видео с камеры смартфона;
  • Передавать данные жертвы на командный сервер;
  • Деинсталлироваться и вычищать все следы.

 

Цепочка атаки трояна выглядит так:

 

Для эффективной передачи скомпрометированных сведений авторы MMRat выбрали протокол Protobuf, что редко можно встретить среди подобных троянов. Protobuf похож по принципу действия на XML и JSON. Google разработала этот протокол для сериализации структурированных данных.

Интересно, что для передачи украденной информации используется порт 8080 и HTTP, а для стриминга видео — RTSP и порт 8554. При этом кастомный Protobuf и порт 8887 задействуется для обмена данным с C2.

Следующая главная новость »
AM LiveSecrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Источники: Telegram в России могут заблокировать с 1 апреля
Екатерина Быстрова 17 Февраля 2026 - 11:57
Соответствие законодательству РФ Общее Системы контентной веб-фильтрацииСоответствие требованиям регуляторов
Источники: Telegram в России могут заблокировать с 1 апреля

Telegram может быть полностью заблокирован в России с 1 апреля. Об этом со ссылкой на источники сообщает издание «База». По данным издания, речь идёт о полном ограничении доступа: мессенджер якобы перестанет загружаться как через мобильный интернет, так и через домашние сети.

Блокировка, как утверждается, может работать по аналогии с Instagram (принадлежит Meta, признанной экстремистской и запрещённой в России).

Официального подтверждения этой информации на момент публикации нет.

Напомним, 10 февраля Роскомнадзор начал ограничивать работу Telegram. После этого пользователи из разных регионов стали жаловаться на сбои: у кого-то мессенджер не отправляет сообщения, у кого-то не загружаются медиафайлы или возникают проблемы с подключением.

Будет ли речь идти о полном отключении сервиса или об усилении уже действующих ограничений, пока неизвестно. В Роскомнадзоре ситуацию официально не комментировали.

Если информация подтвердится, это станет самым жёстким шагом в отношении Telegram за последние годы. Пока же пользователям остаётся ждать официальных заявлений и наблюдать за развитием событий.

Как мы писали на прошлой неделе, замедление Telegram привело к проблемам у мобильных разработчиков.

AM LiveSecrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!
Платежи по картам и СБП могут замедлиться из-за Росфинмониторинга
Новость
Платежи по картам и СБП могут замедлиться из-за Росфинмонито...
Суд оштрафовал первого фигуранта по делу о поиске экстремистских материалов
Новость
Суд оштрафовал первого фигуранта по делу о поиске экстремист...
В VMware EXSi обнаружена неустранимая в России уязвимость
Новость
В VMware EXSi обнаружена неустранимая в России уязвимость

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.