Language
東南アジアのユーザーを標的とした新しい Android トロイの木馬「MMRat」

ブログ

ホームページホームページ / ブログ / 東南アジアのユーザーを標的とした新しい Android トロイの木馬「MMRat」
search

Aug 27, 2023

英国と中国に関するガーディアン紙の見解:英国は中国政府との関係で難航している

Sep 02, 2023

英国、ベン・ウォレス国防長官を後任にグラント・シャップス氏に交代

Sep 01, 2023

英国、EU製品に対する国境管理を再び延期

Aug 25, 2023

英国の一部の銀行が貯蓄者向けの金利を改善すると監視機関が指摘

Aug 26, 2023

英国のがん治療の「黄金時代」は100万人の命を救った、研究結果が判明

お問い合わせを送信してください
送信

Oct 19, 2023

東南アジアのユーザーを標的とした新しい Android トロイの木馬「MMRat」

新たに確認された Android トロイの木馬 MMRat は、東南アジアのユーザーをターゲットにして、デバイスを遠隔制御し、銀行詐欺を行っています。 By Flipboard Reddit Pinterest Whatsapp Whatsapp メールを新しく送信

新たに確認された Android トロイの木馬 MMRat は、東南アジアのユーザーをターゲットにして、デバイスを遠隔制御し、銀行詐欺を行っています。

による

フリップボード

レディット

ピンタレスト

ワッツアップ

ワッツアップ

Eメール

東南アジアのユーザーをターゲットとした新たに確認された Android トロイの木馬により、攻撃者はデバイスをリモートで制御し、銀行詐欺を行うことができるとトレンドマイクロが報告しています。

MMRat と呼ばれるこのマルウェアは 6 月から活動しており、ユーザー入力をキャプチャしてスクリーンショットを撮ることができ、Protobuf に基づいてカスタマイズされたコマンドアンドコントロール (C&C) プロトコルを使用するため、大量のデータを転送する際のパフォーマンスが向上します。

このマルウェアは、公式アプリケーション ストアを装った Web サイトを通じて配布されており、ベトナム語やタイ語などのさまざまな言語に対応していました。 ただし、これらのサイトへのリンクが対象の被害者にどのように配布されるかは不明です。

インストール後、MMRat は被害者に必要な権限を有効にするよう要求し、C&C との通信を開始し、デバイス情報を送信してユーザー入力を取得します。 アクセシビリティ権限が有効になっている場合、脅威は設定を変更し、自分自身にさらに多くの権限を付与する可能性があります。

マルウェアは、デバイスが使用されていないときにオペレータに信号を送信するため、デバイスのロックを解除して銀行詐欺を実行したり、画面キャプチャを初期化したりすることができます。

その後、マルウェアは自身をアンインストールし、デバイスから感染の痕跡をすべて削除します。 MMRat は、ユーザーの疑惑を避けるために、政府公式または出会い系アプリを装っていることも見られました。

「その後、システム イベントを受信できるレシーバーを登録します。これには、システムのスイッチのオン/オフや再起動などを検出する機能が含まれます。 これらのイベントを受信すると、マルウェアは持続性を確保するために 1×1 サイズのピクセル アクティビティを起動します」とトレンドマイクロは説明します。

このマルウェアは、データ漏洩、ビデオ ストリーミング、および C&C のために、アクセシビリティ サービスを開始し、3 つのポートを介してサーバー通信を初期化することが確認されました。

サーバーから受信したコマンドに基づいて、マルウェアはジェスチャとグローバル アクションの実行、テキスト メッセージの送信、パスワードを使用した画面のロック解除、アプリケーションでのパスワードの入力、画面をクリック、画面またはカメラ ビデオのキャプチャ、マイクの有効化、起動を行うことができます。デバイスを削除し、デバイス自体を削除します。

MMRat は、ネットワーク、画面、バッテリーのデータ、インストールされているアプリケーション、連絡先リストなど、幅広いデバイス データと個人情報を収集できます。

「攻撃者の目的は、個人情報を明らかにして、被害者が特定のプロファイルに適合することを確認することであると私たちは考えています。 たとえば、被害者には特定の地理的基準を満たす連絡先があったり、特定のアプリがインストールされていたりする可能性があります。 この情報はさらなる悪意のある活動に使用される可能性があります」とトレンドマイクロは指摘しています。

トレンドマイクロによると、画面キャプチャ機能はリモート制御と組み合わせて使用​​される可能性が高く、これにより、攻撃者が銀行詐欺を実行する際にデバイスのライブステータスを閲覧できるようになります。 このマルウェアは、MediaProjection API を使用して画面コンテンツをキャプチャし、ビデオ データを C&C サーバーにストリーミングします。

このマルウェアは、画面データをキャプチャするために「ユーザー端末状態」アプローチも使用しており、端末に似たグラフィカル ユーザー インターフェイスを使用せずにテキスト情報のみがサーバーに送信されます。

関連している:Anatsa バンキング トロイの木馬が Google Play 経由で配信され、米国とヨーロッパの Android ユーザーをターゲットに

関連している:Google Playで5万ダウンロードのAndroidアプリがアップデートでスパイウェア化

関連している:新しい Android トロイの木馬、Google Play 経由でアジアの多くのデバイスに感染、フィッシング

Ionut Arghire は SecurityWeek の国際特派員です。

SecurityWeek 電子メール ブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。

セキュリティの専門家と一緒に、サイバー リスクの軽減とビジネスの強化の両方を実現する ZTNA の未開発の可能性について話し合います。