I ricercatori di Trend Micro hanno scoperto un nuovo trojan bancario, denominato MMRat, che viene distribuito tramite app store fasulli. Il malware abusa dei servizi di accessibilità per ottenere permessi elevati e raccogliere diversi dati sensibili. Per l’invio al server remoto sfrutta un protocollo poco utilizzato, ma che incrementa la velocità di trasferimento.
MMRat: trojan bancario originale
Gli esperti di Trend Micro non hanno individuato i metodi usati dai cybercriminali per convincere gli utenti a visitare questi app store fasulli. Probabilmente sono stati pubblicizzati su social media e forum. Quando l’ignara vittima installa l’app infetta e concede i permessi richiesti, MMRat invia alcune informazioni sul dispositivo al server remoto.
Per la comunicazione viene usato il protocollo Protobuf che velocizza il trasferimento di grandi volumi di dati. Abusando dei servizi di accessibilità, i cybercriminali possono risvegliare lo smartphone da remoto e sbloccare lo schermo. Ciò consente di eseguire varie azioni in tempo reale, tra cui la raccolta dei dati: contatti, elenco delle app installate, registrazione dell’input (keylogging), cattura degli screenshot e registrazione video con la fotocamera.
Dopo aver inviato tutti i dati al server C2 (command and control), MMRat si “autodistrugge”. In pratica disinstalla se stesso per cancellare tutte le tracce. Al momento, gli attacchi sono effettuati verso utenti che si trovano in Asia, ma potrebbero arrivare in altri paesi. Il suggerimento (ovvio) è scaricare le app solo dal Google Play Store. Inoltre non deve essere concesso il permesso per i servizi di accessibilità.