Um trojan Android recentemente identificado, direcionado a usuários no Sudeste Asiático, está permitindo que invasores controlem dispositivos remotamente e realizem fraudes bancárias, relata a Trend Micro.
Chamado de MMRat e ativo desde junho, o malware pode capturar informações do usuário e fazer capturas de tela, além de usar um protocolo de comando e controle (C&C) personalizado baseado em Protobuf, que melhora seu desempenho ao transferir grandes quantidades de dados.
O malware foi distribuído por meio de sites disfarçados de lojas de aplicativos oficiais e adaptados em diferentes idiomas, incluindo vietnamita e tailandês. No entanto, não está claro como os links para esses sites são distribuídos às vítimas pretendidas.
Depois da instalação, MMRat pede à vítima para habilitar as permissões necessárias e começa a se comunicar com seu C&C, enviando informações do dispositivo e capturando a entrada do usuário. Se as permissões de acessibilidade estiverem habilitadas, a ameaça poderá modificar as configurações e conceder a si mesma mais permissões.
O malware sinaliza aos seus operadores quando o dispositivo não está em uso, para que eles possam desbloqueá-lo para realizar fraudes bancárias e inicializar a captura de tela.
O malware então se desinstala, removendo todos os vestígios de infecção do dispositivo. O MMRat também foi visto se passando por um aplicativo oficial do governo ou de namoro, para evitar suspeitas dos usuários.
“Posteriormente, ele registra um receptor que pode receber eventos do sistema, incluindo a capacidade de detectar quando o sistema liga e desliga e reinicia, entre outros. Ao receber esses eventos, o malware lança uma atividade de pixel de tamanho 1×1 para garantir sua persistência”, explica a Trend Micro.
O malware foi visto iniciando o serviço de acessibilidade e inicializando a comunicação do servidor em três portas, para exfiltração de dados, streaming de vídeo e C&C.
Com base em comandos recebidos do servidor, o malware pode executar gestos e ações globais, enviar mensagens de texto, desbloquear a tela usando senha, inserir senhas em aplicativos, clicar na tela, capturar vídeo da tela ou da câmera, ativar o microfone, acordar o dispositivo e exclua-se.
O MMRat pode coletar uma ampla gama de dados de dispositivos e informações pessoais, incluindo dados de rede, tela e bateria, aplicativos instalados e listas de contatos.
“Acreditamos que o objetivo do autor da ameaça é descobrir informações pessoais para garantir que a vítima se encaixe em um perfil específico. Por exemplo, a vítima pode ter contactos que cumpram determinados critérios geográficos ou ter uma aplicação específica instalada. Essas informações podem então ser usadas para outras atividades maliciosas”, observa a Trend Micro.
De acordo com a Trend Micro, o recurso de captura de tela provavelmente é usado em conjunto com o controle remoto, permitindo que o agente da ameaça visualize o status ao vivo do dispositivo ao realizar fraudes bancárias. O malware também usa a API MediaProjection para capturar o conteúdo da tela e transmitir dados de vídeo para o servidor C&C.
O malware também usa uma abordagem de “estado terminal do usuário” para capturar dados da tela, onde apenas informações de texto são enviadas ao servidor, sem a interface gráfica do usuário, semelhante a um terminal.