Trong báo cáo của mình, Trend Micro cho biết họ phát hiện phần mềm độc hại này lần đầu tiên vào tháng 6/2023, chủ yếu nhắm mục tiêu vào người dùng ở Đông Nam Á. Các nhà nghiên cứu gọi nó là MMRat và cho biết khi lần đầu tiên nó được phát hiện, VirusTotal và các dịch vụ quét AV tương tự không phát hiện ra nó là độc hại.
MMRat có khả năng thực hiện nhiều hoạt động độc hại, từ thu thập dữ liệu mạng, màn hình và pin cho đến đánh cắp danh sách liên hệ; từ ghi nhật ký thao tác bàn phím đến lấy nội dung màn hình theo thời gian thực, từ ghi và phát trực tiếp dữ liệu camera đến ghi và chuyển dữ liệu màn hình ở dạng văn bản. Cuối cùng, MMRat có thể tự gỡ cài đặt nếu cần thiết.
Khả năng lấy nội dung màn hình theo thời gian thực yêu cầu truyền dữ liệu hiệu quả, đó là lúc giao thức protobuf tỏa sáng. Rõ ràng, đây là một giao thức tùy chỉnh để lọc dữ liệu, sử dụng các cổng và giao thức khác nhau để trao đổi dữ liệu với C2.
Trend Micro cho biết trong báo cáo của mình: "Đặc biệt, giao thức C&C là duy nhất do được tùy chỉnh dựa trên Netty (khung ứng dụng mạng) và Protobuf đã đề cập trước đó, hoàn chỉnh với các cấu trúc thông báo được thiết kế tốt".
"Đối với giao tiếp C&C, kẻ tấn công sử dụng cấu trúc bao trùm để thể hiện tất cả các loại tin nhắn và từ khóa "oneof" để thể hiện các loại dữ liệu khác nhau".
Các nhà nghiên cứu đã tìm thấy phần mềm độc hại ẩn trong các cửa hàng ứng dụng di động giả mạo, giả dạng ứng dụng của chính phủ hoặc ứng dụng hẹn hò. Mặc dù họ mô tả toàn bộ nỗ lực này là "tinh vi", nhưng điều đáng nói là các ứng dụng vẫn yêu cầu quyền đối với Dịch vụ trợ năng của Android - một lá cờ đỏ thông thường và một dấu hiệu rõ ràng rằng ứng dụng này là độc hại.
Cuối cùng, nếu nạn nhân từ chối cấp các quyền này, phần mềm độc hại sẽ trở nên vô dụng.