رُصد برنامج حصان طروادة المصرفي الجديد، المعروف باسم MMRat، يستهدف مستخدمي الهواتف المحمولة في جنوب شرق آسيا منذ أواخر يونيو 2023. ويقوم البرنامج بالاستيلاء على الأجهزة عن بُعد لتنفيذ عمليات احتيال مالي، ما يجعله تهديدًا بارزًا لمستخدمي نظام Android في المنطقة.
“يمكن للبرامج الضارة، التي سميت باسم الحزمة المميزة com.mm.user، التقاط مدخلات المستخدم ومحتوى الشاشة، ويمكنها أيضًا التحكم عن بعد في أجهزة الضحية من خلال تقنيات مختلفة، مما يمكّن مشغليها من تنفيذ عمليات احتيال مصرفي على جهاز الضحية،” تريند. مايكرو قال.
إن ما يجعل MMRat متميزًا عن الآخرين من نوعه هو استخدام بروتوكول القيادة والتحكم المخصص (C2) استنادًا إلى المخازن المؤقتة للبروتوكول (المعروف أيضًا باسم بروتوبوف) لنقل كميات كبيرة من البيانات بكفاءة من الهواتف المعرضة للخطر، مما يدل على التطور المتزايد للبرامج الضارة التي تعمل بنظام Android.
تشمل الأهداف المحتملة بناءً على اللغة المستخدمة في صفحات التصيد الاحتيالي إندونيسيا وفيتنام وسنغافورة والفلبين.
نقطة الدخول للهجمات هي شبكة من مواقع التصيد الاحتيالي التي تحاكي متاجر التطبيقات الرسمية، على الرغم من أن كيفية توجيه الضحايا إلى هذه الروابط غير معروفة حاليًا. MMRat عادة تنكرات كحكومة رسمية أو تطبيق مواعدة.
بمجرد تثبيته، يعتمد التطبيق بشكل كبير على خدمة إمكانية الوصول لنظام Android وواجهة برمجة تطبيقات MediaProjection، وكلاهما تم الاستفادة منهما من خلال حصان طروادة مالي آخر يعمل بنظام Android يسمى SpyNote، لتنفيذ أنشطته. كما أن البرامج الضارة قادرة أيضًا على إساءة استخدام أذونات الوصول الخاصة بها لمنح نفسها أذونات أخرى وتعديل الإعدادات.
كما يقوم أيضًا بإعداد الثبات للبقاء على قيد الحياة بين عمليات إعادة التشغيل ويبدأ الاتصالات مع خادم بعيد لانتظار التعليمات وإخراج نتائج تنفيذ تلك الأوامر إليه مرة أخرى. يستخدم حصان طروادة مجموعات مختلفة من المنافذ والبروتوكولات لوظائف مثل استخراج البيانات، وتدفق الفيديو، والتحكم في C2.
يمتلك MMRat القدرة على جمع نطاق واسع من بيانات الجهاز والمعلومات الشخصية، بما في ذلك قوة الإشارة وحالة الشاشة وإحصائيات البطارية والتطبيقات المثبتة وقوائم جهات الاتصال. ويُشتبه في أن جهة التهديد تستخدم التفاصيل لتنفيذ نوع ما من ملفات تعريف الضحايا قبل الانتقال إلى المرحلة التالية.
تشمل بعض الميزات الأخرى لـ MMRat تسجيل محتوى الشاشة في الوقت الفعلي والتقاط نمط شاشة القفل للسماح لممثل التهديد بالوصول عن بعد إلى جهاز الضحية عندما يكون مقفلاً وغير قيد الاستخدام بشكل نشط.
وقالت تريند مايكرو: “إن البرمجيات الخبيثة MMRat تسيء استخدام خدمة إمكانية الوصول للتحكم عن بعد في جهاز الضحية، وتنفيذ إجراءات مثل الإيماءات، وفتح الشاشات، وإدخال النص، من بين أمور أخرى”.
“يمكن أن يستخدمها ممثلو التهديدات – جنبًا إلى جنب مع بيانات الاعتماد المسروقة – لتنفيذ عمليات احتيال مصرفي.”
تنتهي الهجمات بحذف MMRat نفسه عند تلقي أمر C2 UNINSTALL_APP، والذي يحدث عادةً بعد معاملة احتيالية ناجحة، مما يؤدي بشكل فعال إلى إزالة جميع آثار العدوى من الجهاز.
وللتخفيف من التهديدات التي تشكلها هذه البرامج الضارة القوية، يوصى بأن يقوم المستخدمون فقط بتنزيل التطبيقات من المصادر الرسمية، والتدقيق في مراجعات التطبيقات، والتحقق من الأذونات التي يطلبها التطبيق للوصول إليها قبل الاستخدام.
