Blog

Oct 19, 2023

Neuer Android-Trojaner „MMRat“ zielt auf Benutzer in Südostasien ab

Der neu identifizierte Android-Trojaner MMRat zielt auf Benutzer in Südostasien ab, um Geräte fernzusteuern und Bankbetrug zu begehen. Von Flipboard Reddit Pinterest WhatsApp WhatsApp E-Mail A neu

Der neu identifizierte Android-Trojaner MMRat zielt auf Benutzer in Südostasien ab, um Geräte fernzusteuern und Bankbetrug zu begehen.

Von

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

Email

Ein neu identifizierter Android-Trojaner, der es auf Benutzer in Südostasien abgesehen hat, ermöglicht es Angreifern, Geräte aus der Ferne zu steuern und Bankbetrug zu begehen, berichtet Trend Micro.

Die Malware trägt den Namen MMRat und ist seit Juni aktiv. Sie kann Benutzereingaben erfassen und Screenshots erstellen und verwendet ein angepasstes Command-and-Control-Protokoll (C&C) auf Basis von Protobuf, das ihre Leistung bei der Übertragung großer Datenmengen verbessert.

Die Malware wurde über Websites verbreitet, die sich als offizielle App-Stores ausgaben und auf verschiedene Sprachen, darunter Vietnamesisch und Thailändisch, zugeschnitten waren. Es ist jedoch unklar, wie Links zu diesen Websites an die beabsichtigten Opfer weitergegeben werden.

Nach der Installation fordert MMRat das Opfer auf, die erforderlichen Berechtigungen zu aktivieren, und beginnt mit seinem C&C zu kommunizieren, Geräteinformationen zu senden und Benutzereingaben zu erfassen. Wenn Barrierefreiheitsberechtigungen aktiviert sind, kann die Bedrohung Einstellungen ändern und sich selbst mehr Berechtigungen gewähren.

Die Malware signalisiert ihren Betreibern, wenn das Gerät nicht verwendet wird, sodass sie es entsperren können, um Bankbetrug durchzuführen und die Bildschirmaufnahme zu initialisieren.

Anschließend deinstalliert sich die Malware selbst und entfernt alle Spuren einer Infektion vom Gerät. MMRat gab sich auch als offizielle Regierungs- oder Dating-App aus, um den Verdacht der Nutzer zu vermeiden.

„Anschließend registriert es einen Empfänger, der Systemereignisse empfangen kann, einschließlich der Fähigkeit, unter anderem zu erkennen, wann sich das System ein- und ausschaltet und neu startet. Beim Empfang dieser Ereignisse startet die Malware eine 1×1 große Pixelaktivität, um ihre Persistenz sicherzustellen“, erklärt Trend Micro.

Es wurde beobachtet, dass die Malware den Accessibility-Dienst initiierte und die Serverkommunikation über drei Ports für Datenexfiltration, Video-Streaming und C&C initialisierte.

Basierend auf vom Server empfangenen Befehlen kann die Malware Gesten und globale Aktionen ausführen, Textnachrichten senden, den Bildschirm mit einem Passwort entsperren, Passwörter in Anwendungen eingeben, auf den Bildschirm klicken, Bildschirm- oder Kameravideos aufnehmen, das Mikrofon aktivieren und aufwachen das Gerät und löscht sich selbst.

MMRat kann eine breite Palette von Gerätedaten und persönlichen Informationen sammeln, darunter Netzwerk-, Bildschirm- und Akkudaten, installierte Anwendungen und Kontaktlisten.

„Wir glauben, dass das Ziel des Bedrohungsakteurs darin besteht, persönliche Informationen aufzudecken, um sicherzustellen, dass das Opfer einem bestimmten Profil entspricht. Beispielsweise kann das Opfer Kontakte haben, die bestimmte geografische Kriterien erfüllen, oder eine bestimmte App installiert haben. Diese Informationen können dann für weitere böswillige Aktivitäten verwendet werden“, stellt Trend Micro fest.

Laut Trend Micro wird die Bildschirmaufnahmefunktion wahrscheinlich in Verbindung mit der Fernsteuerung verwendet, sodass der Bedrohungsakteur bei Bankbetrug den Live-Status des Geräts sehen kann. Die Malware nutzt außerdem die MediaProjection-API, um Bildschirminhalte zu erfassen und Videodaten an den C&C-Server zu streamen.

Die Malware nutzt außerdem einen „Benutzer-Terminal-Status“-Ansatz zur Erfassung von Bildschirmdaten, bei dem nur Textinformationen ohne grafische Benutzeroberfläche, die einem Terminal ähnelt, an den Server gesendet werden.

Verwandt:Der über Google Play verbreitete Banking-Trojaner Anatsa richtet sich an Android-Nutzer in den USA und Europa

Verwandt:Android-App mit 50.000 Downloads bei Google Play wurde per Update zur Spyware

Verwandt:Neue Android-Trojaner infizierten viele Geräte in Asien über Google Play und Phishing

Ionut Arghire ist internationaler Korrespondent für SecurityWeek.

Abonnieren Sie das E-Mail-Briefing von SecurityWeek, um über die neuesten Bedrohungen, Trends und Technologien sowie aufschlussreiche Kolumnen von Branchenexperten informiert zu bleiben.

Besprechen Sie mit Sicherheitsexperten das ungenutzte Potenzial von ZTNA zur Reduzierung von Cyber-Risiken und zur Stärkung des Unternehmens.

Nehmen Sie an einem Webinar von Microsoft und Finite State teil, in dem eine neue Strategie zur Sicherung der Software-Lieferkette vorgestellt wird.

Während quantenbasierte Angriffe noch in der Zukunft liegen, müssen Unternehmen darüber nachdenken, wie sie Daten während der Übertragung schützen können, wenn die Verschlüsselung nicht mehr funktioniert. (Marie Hattar)

So wie eine professionelle Fußballmannschaft Koordination, Strategie und Anpassungsfähigkeit benötigt, um einen Sieg auf dem Spielfeld zu sichern, muss eine umfassende Cybersicherheitsstrategie spezifische Herausforderungen und Bedrohungen bewältigen. (Matt Wilson)

Mit Inkrafttreten der SEC-Regeln zur Offenlegung von Cyber-Vorfällen werden Unternehmen gezwungen sein, ernsthaft darüber nachzudenken, Sicherheitsverantwortlichen einen Platz am Tisch zu geben. (Marc Solomon)

Die Arbeit aus der Ferne wird uns erhalten bleiben und Unternehmen sollten weiterhin sicherstellen, dass ihre grundlegenden Kommunikationsformen ordnungsgemäß konfiguriert und gesichert sind. (Matt Honea)

Die Komplexität und Herausforderung verteilter Cloud-Umgebungen erfordert oft die Verwaltung mehrerer Infrastruktur-, Technologie- und Sicherheits-Stacks, mehrerer Richtlinien-Engines, mehrerer Kontrollsätze und mehrerer Asset-Inventare. (Joshua Goldfarb)

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

Email

Der sich verändernde Charakter dessen, was wir immer noch allgemein als Ransomware bezeichnen, wird sich bis 2023 fortsetzen, angetrieben durch drei Hauptbedingungen.

Eine kürzlich bekannt gewordene vBulletin-Schwachstelle, die letzte Woche etwa zwei Tage lang einen Zero-Day-Status hatte, wurde bei einem Hackerangriff auf ... ausgenutzt.

Infonetics Research hat Auszüge aus seinem Marktgrößen- und Prognosebericht für Mobile Device Security Client Software veröffentlicht, in dem Sicherheitsclients für Unternehmen und Verbraucher verfolgt werden ...

Niemand, der Cyberkriminalität bekämpft, weiß alles, aber jeder, der am Kampf beteiligt ist, verfügt über Informationen, die er zur größeren Wissensbasis beitragen kann.

Apple hat iOS 16.3 und macOS Ventura 13.2 eingeführt, um schwerwiegende Sicherheitslücken zu schließen.

Bedrohungsakteure missbrauchen zunehmend Microsoft OneNote-Dokumente, um sowohl in gezielten als auch in Spray-and-Pray-Kampagnen Malware zu verbreiten.

Weltweit wurden nicht gepatchte und ungeschützte VMware ESXi-Server zum Ziel eines Ransomware-Angriffs, der eine im Jahr 2021 gepatchte Schwachstelle ausnutzt.

Aufgrund kritischer Sicherheitslücken sind die Exynos-Modems von Samsung ohne Benutzerinteraktion anfällig für „Internet-to-Baseband-Remote-Code-Execution“-Angriffe. Laut Project Zero braucht ein Angreifer nur...