BRATA البرامج الضارة

ظهر حصان طروادة المصرفي BRATA لأول مرة في عام 2019 في البرازيل. استهدف التهديد أجهزة Andoird وكان قادرًا على التقاط الشاشة وتثبيت تطبيقات جديدة والتسبب في ظهور الجهاز المصاب مغلقًا عن طريق إيقاف تشغيل الشاشة. ومع ذلك ، منذ ذلك الحين ، خضع التهديد لتطور سريع مع إصدارات جديدة متعددة يمتلك كل منها قدرات تطفلية موسعة. على سبيل المثال ، في عام 2021 ، تم استخدام التهديد في حملات الهجوم ضد المستخدمين في أوروبا. اكتشف باحثو إنفوسيك أن البرمجيات الخبيثة BRATA تنتشر عبر تطبيقات وهمية لمكافحة البريد الإلكتروني العشوائي. حتى أن عمليات التهديد تضمنت وكلاء دعم مزيفين أغرى المستخدمين لتزويدهم بالسيطرة الكاملة على أجهزتهم.

في بداية عام 2022 ، أصبح BRATA أكثر تعقيدًا ، من خلال إضافة استخدام تتبع GPS وقنوات اتصال متعددة للوصول إلى خوادم القيادة والتحكم (C2 ، C&C). تلقى التهديد أيضًا ميزة إعادة ضبط المصنع ، مما يسمح له بمسح الأجهزة المخترقة بعد أن تم بالفعل اختراق البيانات الموجودة عليها. صممت الجهات الفاعلة في التهديد أيضًا إصدارات BRATA اعتمادًا على بلد المستخدمين المستهدفين.

الآن ، يُظهر تقرير صادر عن شركة Cleafy ، وهي شركة إيطالية لأمن الهواتف المحمولة ، أن BRATA قد تطورت ، أكثر من ذلك ، وتحولت إلى تهديد مستمر يهدف إلى البقاء على الأجهزة المصابة. تشمل الوظائف الموسعة للتهديد القدرة على إرسال رسائل SMS أو اعتراضها ، مما يمنح المهاجمين بشكل فعال القدرة على جمع الرموز المؤقتة ، مثل كلمات المرور لمرة واحدة (OTP) وتلك المستخدمة في إجراءات أمان المصادقة الثنائية (2FA). يمكن لـ BRATA أيضًا جلب حمولة المرحلة الثانية من C2. يتم إسقاط البرامج الضارة الإضافية على الجهاز كأرشيف ZIP يحتوي على حزمة "unrar.jar". بمجرد التنفيذ ، تعمل الحمولة كلوغر يراقب الأحداث التي ينشئها التطبيق ويسجلها محليًا.

أخيرًا ، كانت إصدارات البرامج الضارة BRATA التي تم تحليلها بواسطة Cleafy شديدة الاستهداف. في الواقع ، يبدو أن الجهات الفاعلة في التهديد تركز على مؤسسة مالية واحدة في كل مرة. لن ينتقل المهاجمون إلى ضحيتهم التالية إلا بعد أن يتم تحييد جهودهم من قبل الضحية السابقة من خلال الإجراءات الأمنية المضادة. يمنح هذا السلوك مجرمي الإنترنت فرصة لتقليل أثر برمجيات BRATA الضارة بشكل كبير. بعد كل شيء ، لن يحتاج التهديد إلى الوصول إلى قائمة التطبيقات المثبتة على الجهاز المخترق ثم جلب الحقن المقابلة من C2. الآن ، تأتي البرامج الضارة محملة مسبقًا بتراكب تصيد واحد فقط ، مما يقلل من حركة مرور C2 والإجراءات التي يحتاجها لأداء على الجهاز المضيف.