Halaman

    Social Items

Visit WPN

 


Malware perbankan Android baru bernama MMRat menggunakan metode komunikasi yang jarang digunakan, serialisasi data protobuf, untuk mencuri data dari perangkat yang disusupi dengan lebih efisien.


MMRat pertama kali teridentifikasi oleh Trend Micro pada akhir Juni 2023, dengan fokus utama pada pengguna di wilayah Asia Tenggara dan berhasil menghindari deteksi oleh layanan pemindaian antivirus seperti VirusTotal.


Meskipun para peneliti tidak memiliki informasi tentang metode awal distribusi malware tersebut kepada korban, mereka berhasil mengidentifikasi bahwa MMRat disebarkan melalui situs web yang menyamar sebagai toko aplikasi resmi.


Para korban ini mendownload dan menginstal aplikasi berbahaya yang membawa MMRat, sering kali aplikasi ini meniru aplikasi resmi pemerintah atau aplikasi kencan dan selama proses instalasi, memberikan izin yang berisiko seperti akses ke layanan Aksesibilitas Android.


Malware dengan otomatis memanfaatkan fitur Aksesibilitas untuk memberikan izin tambahan, yang kemudian memungkinkannya melakukan berbagai tindakan jahat pada perangkat yang telah terinfeksi.



Kemampuan MMRat


Setelah perangkat Android terinfeksi oleh MMRat, malware ini membentuk saluran komunikasi dengan server C2 dan mengawasi aktivitas perangkat untuk mengidentifikasi periode ketidakaktifan.


Pada periode tersebut, para pelaku ancaman menyalahgunakan Layanan Aksesibilitas untuk menghidupkan perangkat dari jarak jauh, membuka kunci layar dan melakukan penipuan bank secara real-time.


Fungsi utama MMRat dapat diringkas sebagai berikut:

  • Mengumpulkan informasi jaringan, layar dan baterai.
  • Mengekstrak daftar kontak pengguna dan daftar aplikasi yang diinstal.
  • Mencapture input pengguna melalui keylogging.
  • Mencapture konten layar secara real-time dari perangkat dengan menyalahgunakan API MediaProjection.
  • Merekam dan live-streaming data kamera.
  • Merekam dan menyalin data layar dalam bentuk teks dump yang dieksfiltrasi ke C2.
  • Menguninstal dirinya sendiri dari perangkat untuk menghapus semua bukti infeksi.



Kemampuan MMRat untuk mengambil konten layar secara real-time, bahkan dengan menggunakan metode yang lebih sederhana seperti 'status terminal pengguna' yang mengekstraksi data teks yang memerlukan rekonstruksi, mengharuskan transmisi data yang efisien.


Dengan efisiensi seperti itu, kinerja malware ini akan menghambat kemampuan pelaku ancaman untuk melakukan penipuan bank dengan efektif. Oleh karena itu, penulis MMRat memutuskan untuk mengembangkan protokol Protobuf yang khusus untuk mengirimkan data yang diekstraksi secara efisien.




Keunggulan Protobuf


MMRat memanfaatkan protokol server perintah dan kontrol (C2) yang unik, didasarkan pada protokol buffering (Protobuf) untuk melakukan transfer data dengan efisiensi yang jarang terdapat pada trojan Android.


Protobuf adalah metode serialisasi data terstruktur yang dikembangkan oleh Google, yang serupa dengan XML dan JSON dalam bentuknya, namun lebih ringkas dan memiliki kinerja yang lebih cepat.


MMRat memanfaatkan port dan protokol yang berbeda untuk berkomunikasi dengan C2, contohnya HTTP di port 8080 untuk eksfiltrasi data, RTSP di port 8554 untuk streaming video, dan menggunakan Protobuf khusus di port 8887 untuk perintah dan kontrol.


Menurut laporan Trend Micro, Protokol C&C, khususnya, memiliki keunikan karena telah disesuaikan dengan menggunakan framework aplikasi jaringan Netty dan memanfaatkan Protobuf seperti yang telah dijelaskan sebelumnya, lengkap dengan struktur pesan yang dirancang dengan baik.


Dalam komunikasi C&C, para pelaku ancaman menggunakan struktur yang terorganisir dengan baik untuk mewakili berbagai jenis pesan, dan mereka menggunakan kata kunci "oneof" untuk merepresentasikan berbagai jenis data yang berbeda.



Selain efisiensi Protobuf, penggunaan protokol khusus juga membantu para pelaku ancaman menghindari deteksi oleh alat keamanan jaringan yang mencari pola anomali umum yang sudah dikenali.


Fleksibilitas Protobuf memungkinkan penulis MMRat untuk mendefinisikan struktur pesan mereka dan mengatur cara data dikirimkan. Sementara itu, sifat terstrukturnya memastikan bahwa data yang dikirim mematuhi skema yang telah ditentukan sebelumnya dan memiliki kemungkinan lebih rendah untuk rusak di pihak penerima.


Secara keseluruhan, MMRat adalah contoh yang menunjukkan kemajuan yang signifikan dalam trojan perbankan Android, yang mampu menggabungkan keahlian dalam penyamaran dengan ekstraksi data yang efisien.


Pengguna Android sebaiknya hanya mendownload aplikasi dari Google Play Store, mengecek ulasan pengguna, hanya mempercayai penerbit yang memiliki reputasi baik dan harus berhati-hati saat melakukan instalasi, terutama ketika diminta untuk memberikan izin akses.

Malware Android Baru MMRat Menggunakan Protokol Protobuf untuk Mencuri Data Anda

 


Malware perbankan Android baru bernama MMRat menggunakan metode komunikasi yang jarang digunakan, serialisasi data protobuf, untuk mencuri data dari perangkat yang disusupi dengan lebih efisien.


MMRat pertama kali teridentifikasi oleh Trend Micro pada akhir Juni 2023, dengan fokus utama pada pengguna di wilayah Asia Tenggara dan berhasil menghindari deteksi oleh layanan pemindaian antivirus seperti VirusTotal.


Meskipun para peneliti tidak memiliki informasi tentang metode awal distribusi malware tersebut kepada korban, mereka berhasil mengidentifikasi bahwa MMRat disebarkan melalui situs web yang menyamar sebagai toko aplikasi resmi.


Para korban ini mendownload dan menginstal aplikasi berbahaya yang membawa MMRat, sering kali aplikasi ini meniru aplikasi resmi pemerintah atau aplikasi kencan dan selama proses instalasi, memberikan izin yang berisiko seperti akses ke layanan Aksesibilitas Android.


Malware dengan otomatis memanfaatkan fitur Aksesibilitas untuk memberikan izin tambahan, yang kemudian memungkinkannya melakukan berbagai tindakan jahat pada perangkat yang telah terinfeksi.



Kemampuan MMRat


Setelah perangkat Android terinfeksi oleh MMRat, malware ini membentuk saluran komunikasi dengan server C2 dan mengawasi aktivitas perangkat untuk mengidentifikasi periode ketidakaktifan.


Pada periode tersebut, para pelaku ancaman menyalahgunakan Layanan Aksesibilitas untuk menghidupkan perangkat dari jarak jauh, membuka kunci layar dan melakukan penipuan bank secara real-time.


Fungsi utama MMRat dapat diringkas sebagai berikut:

  • Mengumpulkan informasi jaringan, layar dan baterai.
  • Mengekstrak daftar kontak pengguna dan daftar aplikasi yang diinstal.
  • Mencapture input pengguna melalui keylogging.
  • Mencapture konten layar secara real-time dari perangkat dengan menyalahgunakan API MediaProjection.
  • Merekam dan live-streaming data kamera.
  • Merekam dan menyalin data layar dalam bentuk teks dump yang dieksfiltrasi ke C2.
  • Menguninstal dirinya sendiri dari perangkat untuk menghapus semua bukti infeksi.



Kemampuan MMRat untuk mengambil konten layar secara real-time, bahkan dengan menggunakan metode yang lebih sederhana seperti 'status terminal pengguna' yang mengekstraksi data teks yang memerlukan rekonstruksi, mengharuskan transmisi data yang efisien.


Dengan efisiensi seperti itu, kinerja malware ini akan menghambat kemampuan pelaku ancaman untuk melakukan penipuan bank dengan efektif. Oleh karena itu, penulis MMRat memutuskan untuk mengembangkan protokol Protobuf yang khusus untuk mengirimkan data yang diekstraksi secara efisien.




Keunggulan Protobuf


MMRat memanfaatkan protokol server perintah dan kontrol (C2) yang unik, didasarkan pada protokol buffering (Protobuf) untuk melakukan transfer data dengan efisiensi yang jarang terdapat pada trojan Android.


Protobuf adalah metode serialisasi data terstruktur yang dikembangkan oleh Google, yang serupa dengan XML dan JSON dalam bentuknya, namun lebih ringkas dan memiliki kinerja yang lebih cepat.


MMRat memanfaatkan port dan protokol yang berbeda untuk berkomunikasi dengan C2, contohnya HTTP di port 8080 untuk eksfiltrasi data, RTSP di port 8554 untuk streaming video, dan menggunakan Protobuf khusus di port 8887 untuk perintah dan kontrol.


Menurut laporan Trend Micro, Protokol C&C, khususnya, memiliki keunikan karena telah disesuaikan dengan menggunakan framework aplikasi jaringan Netty dan memanfaatkan Protobuf seperti yang telah dijelaskan sebelumnya, lengkap dengan struktur pesan yang dirancang dengan baik.


Dalam komunikasi C&C, para pelaku ancaman menggunakan struktur yang terorganisir dengan baik untuk mewakili berbagai jenis pesan, dan mereka menggunakan kata kunci "oneof" untuk merepresentasikan berbagai jenis data yang berbeda.



Selain efisiensi Protobuf, penggunaan protokol khusus juga membantu para pelaku ancaman menghindari deteksi oleh alat keamanan jaringan yang mencari pola anomali umum yang sudah dikenali.


Fleksibilitas Protobuf memungkinkan penulis MMRat untuk mendefinisikan struktur pesan mereka dan mengatur cara data dikirimkan. Sementara itu, sifat terstrukturnya memastikan bahwa data yang dikirim mematuhi skema yang telah ditentukan sebelumnya dan memiliki kemungkinan lebih rendah untuk rusak di pihak penerima.


Secara keseluruhan, MMRat adalah contoh yang menunjukkan kemajuan yang signifikan dalam trojan perbankan Android, yang mampu menggabungkan keahlian dalam penyamaran dengan ekstraksi data yang efisien.


Pengguna Android sebaiknya hanya mendownload aplikasi dari Google Play Store, mengecek ulasan pengguna, hanya mempercayai penerbit yang memiliki reputasi baik dan harus berhati-hati saat melakukan instalasi, terutama ketika diminta untuk memberikan izin akses.

Android Malware News Security
Comments
0 Comments

No comments

Subscribe to: Post Comments (Atom)