Les chercheurs en sécurité informatique de Trend Micro ont récemment découvert un nouveau cheval de Troie mobile utilisant une méthode de communication innovante.
Nommée sérialisation de données protobuf, cette méthode le rend plus efficace pour voler des données sensibles à partir des points d'extrémité compromis.
Dans son rapport, Trend Micro indique avoir repéré le logiciel malveillant pour la première fois en juin 2023, ciblant principalement des utilisateurs en Asie du Sud-Est. Les chercheurs l'ont baptisé MMRat, et ont déclaré que lorsque celui-ci a été repéré pour la première fois, VirusTotal et des services similaires de scan AV ne le détectaient pas comme malveillant.
MMRat
MMRat est capable d'une grande variété d'activités malveillantes, allant de la collecte de données de réseau, d'écran et de batterie, au vol de listes de contacts ; de l'enregistrement des frappes au vol du contenu de l'écran en temps réel, et de l'enregistrement et la diffusion en direct des données de la caméra, à l'enregistrement et la mise en forme des données de l'écran en texte. Enfin, MMRat peut se désinstaller si nécessaire.
La capacité à voler le contenu de l'écran en temps réel nécessite une transmission de données efficace, c'est ici que le protocole protobuf brille. Apparemment, il s'agit d'un protocole personnalisé pour l'exfiltration de données, utilisant différents ports et protocoles pour échanger des données avec le C2.
"Le protocole C&C, en particulier, est unique en raison de sa personnalisation basée sur Netty (un framework d'application réseau) et le Protobuf mentionné précédemment, avec des structures de messages bien conçues", a déclaré Trend Micro dans son rapport. "Pour la communication C&C, l'acteur de la menace utilise une structure englobante pour représenter tous les types de messages et le mot-clé "oneof" pour représenter différents types de données."
Les chercheurs ont trouvé le logiciel malveillant caché dans de fausses boutiques d'applications mobiles, se faisant passer pour des applications gouvernementales ou de rencontres. Bien qu'ils aient qualifié l'ensemble de l'effort de "sophistiqué", il convient de mentionner que les applications demandent toujours les permissions pour le service d'accessibilité d'Android – un drapeau rouge habituel et une indication claire que l'application est malveillante.
En fin de compte, si les victimes refusent d'accorder ces permissions, le logiciel malveillant est rendu inutile.