MMRat: il nuovo malware Android che sfrutta il protocollo Protobuf

Trend Micro ha individuato un nuovo e temibile malware bancario per Android a cui è stato assegnato il nome MMRat.

A rendere unico nel suo genere questo agente malevolo, è lo sfruttamento di un metodo di comunicazione sfruttato raramente da malware: stiamo parlando della serializzazione dei dati protobuf.

Sebbene questa tecnica non sia comune, ciò non significa che non sia efficace nelle mani degli hacker: gli stessi, infatti, la sfruttano per rubare dati dai dispositivi compromessi.

Sebbene MMRat sia stato individuato inizialmente nel sud-est asiatico, sta vivendo una certa popolarità a livello mondiale, grazie a una massiccia diffusione tramite siti Web che si spacciano come app store ufficiali.

Le vittime, di fatto, scaricano e installano software dannosi che fungono da vettori per MMRat, di solito imitando app di dating o simili. Una volta che l’applicazione viene installata, questa chiede diverse autorizzazioni per poter far agire indisturbato il malware.

MMRat e il protocollo Protobuf: un trojan bancario molto pericoloso

Una volta che MMRat infetta un dispositivo Android, stabilisce un canale di comunicazione con il server C2 e monitora l’attività del dispositivo in modo costante, cercando momenti in cui lo stesso non è in uso.

Durante questi frangenti, l’autore della minaccia abusa del servizio di accessibilità per riattivare il dispositivo da remoto, sbloccare lo schermo ed eseguire frodi bancarie e altre azioni illecite.

Sotto il punto di vista del raggio d’azione, MMRat è impressionante. Può effettuare screenshot dello smartphone colpito, registrare video della telecamera, esfiltrare l’elenco dei contatti e delle app installate.

Infine, il malware è in grado persino di disinstallarsi dal dispositivo per cancellare tutte le prove di infezione.

La flessibilità del sistema Protobuf consente agli autori di MMRat di agire in modo inconsueto, creando difficoltà in fase di rilevamento e blocco della minaccia.

Alla prova pratica, MMRat dimostra quanto i trojan bancari si siano evoluti e come sia importante affidarsi sempre e solo ad app provenienti da Google Play per evitare qualunque tipo di rischio.