BRATA зловреден софтуер

Банковият троянец BRATA се появи за първи път през 2019 г. в Бразилия. Заплахата беше насочена към устройства на Andoird и беше в състояние да прави екранни снимки, да инсталира нови приложения и да накара заразеното устройство да изглежда изключено чрез изключване на екрана. Оттогава обаче заплахата претърпя бърза еволюция с множество нови версии, всяка от които притежаваше разширени натрапчиви възможности. Например през 2021 г. заплахата беше използвана в кампании за атака срещу потребители в Европа. Изследователите на Infosec откриха, че зловредният софтуер BRATA се разпространява чрез фалшиви анти-спам приложения. Заплашващите операции дори включват фалшиви агенти за поддръжка, които примамват потребителите да им предоставят пълен контрол над техните устройства.

В началото на 2022 г. BRATA стана още по-усъвършенстван чрез добавянето на използване на GPS проследяване и множество комуникационни канали за достигане до сървърите за командване и управление (C2, C&C). Заплахата също получи функция за нулиране на фабричните настройки, която й позволява да изтрие пробитите устройства, след като данните върху тях вече са били ексфилтрирани. Заплахите също така адаптираха версиите BRATA в зависимост от страната на целевите потребители.

Сега, доклад на Cleafy, италианска компания за мобилна сигурност, показва, че BRATA се е развила дори повече, превръщайки се в постоянна заплаха, която има за цел да остане на заразените устройства. Разширените функции на заплахата включват възможността за изпращане или прихващане на SMS съобщения, което ефективно дава на нападателите възможността да събират временни кодове, като еднократни пароли (OTP) и тези, използвани при мерки за сигурност с двуфакторно удостоверяване (2FA). BRATA също може да извлече втори етап полезен товар от своя C2. Допълнителният зловреден софтуер се прехвърля на устройството като ZIP архив, съдържащ пакет 'unrar.jar'. Веднъж изпълнен, полезният товар действа като кейлогър, който следи генерираните от приложението събития и ги регистрира локално.

И накрая, версиите на зловреден софтуер BRATA, анализирани от Cleafy, бяха изключително насочени. Всъщност участниците в заплахата изглежда се фокусират върху една финансова институция в даден момент. Нападателите ще преминат към следващата си жертва само след като усилията им бъдат неутрализирани от предишната чрез мерки за сигурност. Това поведение дава на киберпрестъпниците шанс значително да намалят отпечатъка на зловредния софтуер BRATA. В края на краищата заплахата вече няма да има нужда от достъп до списъка с приложения, инсталирани на пробитото устройство, и след това да извлича съответните инжекции от C2. Сега зловредният софтуер идва предварително зареден само с едно фишинг наслагване, което минимизира неговия C2 трафик и действията, които трябва да извърши на хост устройството.