Κακόβουλο λογισμικό BRATA
Ο τραπεζικός Trojan BRATA εμφανίστηκε για πρώτη φορά το 2019 στη Βραζιλία. Η απειλή στόχευε συσκευές Andoird και ήταν σε θέση να πραγματοποιήσει καταγραφή οθόνης, να εγκαταστήσει νέες εφαρμογές και να κάνει τη μολυσμένη συσκευή να εμφανίζεται απενεργοποιημένη απενεργοποιώντας την οθόνη. Ωστόσο, από τότε, η απειλή έχει υποστεί ταχεία εξέλιξη με πολλαπλές νέες εκδόσεις που η καθεμία διέθετε διευρυμένες δυνατότητες διείσδυσης. Για παράδειγμα, το 2021 η απειλή χρησιμοποιήθηκε σε εκστρατείες επίθεσης εναντίον χρηστών στην Ευρώπη. Οι ερευνητές της Infosec ανακάλυψαν ότι το κακόβουλο λογισμικό BRATA διαδίδεται μέσω ψεύτικων εφαρμογών anti-spam. Οι απειλητικές ενέργειες περιλάμβαναν ακόμη και ψεύτικους πράκτορες υποστήριξης που παρέσυραν τους χρήστες να τους παρέχουν τον πλήρη έλεγχο των συσκευών τους.
Στις αρχές του 2022, η BRATA έγινε ακόμη πιο εξελιγμένη, με την προσθήκη της χρήσης παρακολούθησης GPS και πολλαπλών καναλιών επικοινωνίας για την πρόσβαση στους διακομιστές Command-and-Control (C2, C&C). Η απειλή έλαβε επίσης μια δυνατότητα επαναφοράς εργοστασιακών ρυθμίσεων, επιτρέποντάς της να σκουπίσει τις παραβιασμένες συσκευές αφού τα δεδομένα σε αυτές είχαν ήδη διεξαχθεί. Οι φορείς απειλών προσάρμοσαν επίσης τις εκδόσεις BRATA ανάλογα με τη χώρα των στοχευόμενων χρηστών.
Τώρα, μια έκθεση της Cleafy, μιας ιταλικής εταιρείας ασφάλειας κινητής τηλεφωνίας, δείχνει ότι η BRATA έχει εξελιχθεί, ακόμη περισσότερο, σε μια επίμονη απειλή που στοχεύει να κολλήσει στις μολυσμένες συσκευές. Οι διευρυμένες λειτουργίες της απειλής περιλαμβάνουν τη δυνατότητα αποστολής ή υποκλοπής μηνυμάτων SMS, δίνοντας ουσιαστικά στους εισβολείς τη δυνατότητα να συλλέγουν προσωρινούς κωδικούς, όπως κωδικούς πρόσβασης μίας χρήσης (OTP) και αυτούς που χρησιμοποιούνται σε μέτρα ασφαλείας ελέγχου ταυτότητας δύο παραγόντων (2FA). Η BRATA μπορεί επίσης να πάρει ένα ωφέλιμο φορτίο δεύτερου σταδίου από το C2 της. Το πρόσθετο κακόβουλο λογισμικό απορρίπτεται στη συσκευή ως αρχείο ZIP που περιέχει ένα πακέτο «unrar.jar». Μόλις εκτελεστεί, το ωφέλιμο φορτίο λειτουργεί ως keylogger που παρακολουθεί συμβάντα που δημιουργούνται από την εφαρμογή και τα καταγράφει τοπικά.
Τέλος, οι εκδόσεις κακόβουλου λογισμικού BRATA που αναλύθηκαν από τον Cleafy ήταν εξαιρετικά στοχευμένες. Στην πραγματικότητα, οι παράγοντες της απειλής φαίνεται να επικεντρώνονται σε ένα μόνο χρηματοπιστωτικό ίδρυμα κάθε φορά. Οι επιτιθέμενοι θα μετακινηθούν στο επόμενο θύμα τους μόνο αφού οι προσπάθειές τους εξουδετερωθούν από το προηγούμενο μέσω αντιμέτρων ασφαλείας. Αυτή η συμπεριφορά δίνει στους κυβερνοεγκληματίες την ευκαιρία να μειώσουν σημαντικά το αποτύπωμα του κακόβουλου λογισμικού BRATA. Εξάλλου, η απειλή δεν θα χρειάζεται πλέον να έχει πρόσβαση στη λίστα εφαρμογών που είναι εγκατεστημένες στη συσκευή που έχει παραβιαστεί και στη συνέχεια να φέρει τις αντίστοιχες ενέσεις από το C2. Τώρα, το κακόβουλο λογισμικό έρχεται προφορτωμένο με μία μόνο επικάλυψη phishing, ελαχιστοποιώντας την επισκεψιμότητα C2 και τις ενέργειες που χρειάζεται για να εκτελέσει στη συσκευή υποδοχής.
