Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Oct 19, 2023
Le nouveau cheval de Troie Android « MMRat » cible les utilisateurs d'Asie du Sud-Est
Le cheval de Troie Android MMRat nouvellement identifié cible les utilisateurs d'Asie du Sud-Est pour contrôler à distance les appareils et commettre des fraudes bancaires. Par Flipboard Reddit Pinterest Whatsapp Whatsapp Email A nouvellement
Le cheval de Troie Android MMRat nouvellement identifié cible les utilisateurs d'Asie du Sud-Est pour contrôler à distance les appareils et commettre des fraudes bancaires.
Par
Tableau à feuilles mobiles
Un cheval de Troie Android récemment identifié ciblant les utilisateurs d'Asie du Sud-Est permet aux attaquants de contrôler des appareils à distance et de commettre des fraudes bancaires, rapporte Trend Micro.
Baptisé MMRat et actif depuis juin, le malware peut capturer les entrées des utilisateurs et prendre des captures d'écran, et utilise un protocole de commande et de contrôle (C&C) personnalisé basé sur Protobuf, qui améliore ses performances lors du transfert de grandes quantités de données.
Le logiciel malveillant a été distribué via des sites Web se faisant passer pour des magasins d'applications officiels et conçus dans différentes langues, notamment le vietnamien et le thaï. Cependant, on ne sait pas exactement comment les liens vers ces sites sont distribués aux victimes visées.
Après l'installation, MMRat demande à la victime d'activer les autorisations nécessaires et commence à communiquer avec son C&C, en envoyant des informations sur l'appareil et en capturant les entrées de l'utilisateur. Si les autorisations d'accessibilité sont activées, la menace peut modifier les paramètres et s'accorder davantage d'autorisations.
Le malware signale à ses opérateurs lorsque l'appareil n'est pas utilisé, afin qu'ils puissent le déverrouiller pour effectuer une fraude bancaire et initialiser une capture d'écran.
Le malware se désinstalle ensuite, supprimant toute trace d'infection de l'appareil. MMRat a également été vu se faisant passer pour une application officielle du gouvernement ou de rencontres, pour éviter les soupçons des utilisateurs.
« Par la suite, il enregistre un récepteur qui peut recevoir les événements du système, y compris la capacité de détecter quand le système s'allume et s'éteint et redémarre, entre autres. Dès réception de ces événements, le malware lance une activité de pixel de taille 1×1 pour assurer sa persistance », explique Trend Micro.
Le malware a été vu en train de lancer le service d'accessibilité et d'initialiser la communication du serveur sur trois ports, pour l'exfiltration de données, le streaming vidéo et le C&C.
Sur la base des commandes reçues du serveur, le malware peut exécuter des gestes et des actions globales, envoyer des messages texte, déverrouiller l'écran à l'aide d'un mot de passe, saisir des mots de passe dans les applications, cliquer sur l'écran, capturer une vidéo de l'écran ou de la caméra, activer le microphone, se réveiller. l'appareil et se supprime.
MMRat peut collecter un large éventail de données sur l'appareil et d'informations personnelles, notamment des données sur le réseau, l'écran et la batterie, les applications installées et les listes de contacts.
« Nous pensons que l’objectif de l’auteur de la menace est de découvrir des informations personnelles pour s’assurer que la victime correspond à un profil spécifique. Par exemple, la victime peut avoir des contacts répondant à certains critères géographiques ou avoir installé une application spécifique. Ces informations peuvent ensuite être utilisées pour d'autres activités malveillantes », note Trend Micro.
Selon Trend Micro, la capacité de capture d'écran est probablement utilisée conjointement avec le contrôle à distance, permettant à l'auteur de la menace de visualiser l'état en direct de l'appareil lors d'une fraude bancaire. Le malware utilise également l'API MediaProjection pour capturer le contenu de l'écran et diffuser des données vidéo vers le serveur C&C.
Le malware utilise également une approche « état du terminal utilisateur » pour capturer les données d'écran, où seules les informations textuelles sont envoyées au serveur, sans l'interface utilisateur graphique, ressemblant à un terminal.
En rapport:Le cheval de Troie bancaire Anatsa diffusé via Google Play cible les utilisateurs d'Android aux États-Unis et en Europe
En rapport:Une application Android avec 50 000 téléchargements sur Google Play transformée en logiciel espion via une mise à jour
En rapport:De nouveaux chevaux de Troie Android ont infecté de nombreux appareils en Asie via Google Play et le phishing
Ionut Arghire est correspondant international de SecurityWeek.
Abonnez-vous au briefing par e-mail SecurityWeek pour rester informé des dernières menaces, tendances et technologies, ainsi que des chroniques perspicaces d'experts du secteur.
Rejoignez des experts en sécurité pour discuter du potentiel inexploité de ZTNA en matière de réduction des cyber-risques et de responsabilisation de l'entreprise.