I ricercatori di Trend Micro hanno rivelato l’esistenza di un nuovo e pericoloso trojan bancario chiamato MMRat, il quale viene diffuso attraverso app store fasulli. Questo malware sfrutta i servizi di accessibilità per ottenere autorizzazioni elevate e raccogliere dati sensibili dagli utenti, successivamente inviati a un server remoto tramite un protocollo di comunicazione efficiente ma poco noto.
Modalità di Distribuzione Non è stato ancora identificato come MMRat convince gli utenti a visitare questi app store fasulli, ma è probabile che vengano promossi attraverso social media e forum. Una volta che un utente installa l’app infetta e concede i permessi richiesti, MMRat invia informazioni sul dispositivo al server remoto.
Abuso dei Servizi di Accessibilità Utilizzando i servizi di accessibilità, i cybercriminali possono attivare il telefono da remoto e sbloccarne lo schermo, consentendo loro di compiere azioni in tempo reale come la raccolta di dati sensibili come contatti, elenco delle app installate, registrazione degli input (keylogging), cattura di screenshot e registrazione video tramite la fotocamera.
Autodistruzione Dopo aver inviato i dati al server di comando e controllo (C2), MMRat si “autodistrugge”, disinstallandosi e cancellando ogni traccia. Al momento, gli attacchi sembrano concentrati principalmente in Asia, ma potrebbero diffondersi in altre regioni. L’importante consiglio è di scaricare app solo da fonti affidabili come il Google Play Store e di non concedere l’accesso ai servizi di accessibilità a meno che non sia strettamente necessario.
