Cyberthreat.id - Trojan perbankan Android yang sebelumnya tidak terdokumentasi dan dijuluki MMRat telah diamati menargetkan pengguna ponsel di Asia Tenggara sejak akhir Juni 2023. Mereka menyita perangkat dari jarak jauh dan melakukan penipuan keuangan.

“Malware tersebut, yang diberi nama berdasarkan nama paketnya yang khas com.mm.user, dapat menangkap input pengguna dan konten layar, dan juga dapat mengontrol perangkat korban dari jarak jauh melalui berbagai teknik, sehingga memungkinkan operatornya melakukan penipuan bank pada perangkat korban,” kata Trend Mikro kepada The Hacker News.

Apa yang membuat MMRat berbeda dari MMRat lainnya adalah penggunaan protokol command-and-control (C2) yang disesuaikan berdasarkan buffering protokol (alias protobuf) untuk secara efisien mentransfer data dalam jumlah besar dari ponsel yang disusupi, yang menunjukkan semakin canggihnya Android. perangkat lunak perusak.

Kemungkinan target berdasarkan bahasa yang digunakan di halaman phishing meliputi Indonesia, Vietnam, Singapura, dan Filipina.

Titik masuk serangan adalah jaringan situs phishing yang meniru toko aplikasi resmi, meskipun cara korban diarahkan ke tautan tersebut saat ini masih belum diketahui. MMRat biasanya menyamar sebagai aplikasi resmi pemerintah atau kencan.

Setelah diinstal, aplikasi ini sangat bergantung pada layanan aksesibilitas Android dan MediaProjection API, yang keduanya telah dimanfaatkan oleh trojan keuangan Android lain yang disebut SpyNote, untuk menjalankan aktivitasnya.

Malware ini juga mampu menyalahgunakan izin aksesibilitasnya untuk memberikan izin lain dan mengubah pengaturan.

Ini selanjutnya mengatur persistensi untuk bertahan di antara reboot dan memulai komunikasi dengan server jarak jauh untuk menunggu instruksi dan mengambil kembali hasil eksekusi perintah tersebut ke server tersebut.

Trojan menggunakan kombinasi port dan protokol yang berbeda untuk fungsi seperti eksfiltrasi data, streaming video, dan kontrol C2.

MMRat memiliki kemampuan untuk mengumpulkan berbagai data perangkat dan informasi pribadi, termasuk kekuatan sinyal, status layar, dan statistik baterai, aplikasi yang diinstal, dan daftar kontak.

Diduga pelaku ancaman menggunakan rincian tersebut untuk melakukan semacam pembuatan profil korban sebelum melanjutkan ke tahap berikutnya.

Beberapa fitur MMRat lainnya mencakup perekaman konten layar real-time dan menangkap pola layar kunci sehingga memungkinkan pelaku ancaman mendapatkan akses jarak jauh ke perangkat korban saat perangkat terkunci dan tidak digunakan secara aktif.

“Malware MMRat menyalahgunakan layanan Aksesibilitas untuk mengontrol perangkat korban dari jarak jauh, antara lain melakukan tindakan seperti gerakan, membuka kunci layar, memasukkan teks,” kata Trend Micro.

“Ini dapat digunakan oleh pelaku ancaman – bersama dengan kredensial yang dicuri – untuk melakukan penipuan bank.”

Serangan berakhir dengan MMRat menghapus dirinya sendiri setelah menerima perintah C2 UNINSTALL_APP, yang biasanya terjadi setelah transaksi penipuan berhasil, yang secara efektif menghapus semua jejak infeksi dari perangkat.

Untuk memitigasi ancaman yang ditimbulkan oleh malware yang kuat tersebut, disarankan agar pengguna hanya mengunduh aplikasi dari sumber resmi, meneliti ulasan aplikasi, dan memeriksa izin yang diminta akses oleh aplikasi sebelum digunakan.[]