Programari maliciós BRATA

El troià bancari BRATA va aparèixer per primera vegada el 2019 al Brasil. L'amenaça es va dirigir als dispositius Andoird i era capaç de fer captures de pantalla, instal·lar noves aplicacions i fer que el dispositiu infectat semblés tancat apagant la pantalla. No obstant això, des de llavors, l'amenaça ha experimentat una ràpida evolució amb múltiples versions noves que posseïen cadascuna capacitats intrusives ampliades. Per exemple, el 2021 l'amenaça es va utilitzar en campanyes d'atac contra usuaris a Europa. Els investigadors d'Infosec van descobrir que el programari maliciós BRATA es propagava mitjançant aplicacions anti-spam falses. Les operacions amenaçadores fins i tot van incloure agents de suport falsos que van atraure els usuaris perquè els proporcionessin un control complet sobre els seus dispositius.

A principis de 2022, BRATA es va tornar encara més sofisticat, gràcies a l'ús de seguiment GPS i múltiples canals de comunicació per arribar als servidors de comandament i control (C2, C&C). L'amenaça també va rebre una funció de restabliment de fàbrica, que li va permetre esborrar els dispositius incompliments després que les dades d'ells ja s'haguessin exfiltrat. Els actors de l'amenaça també van adaptar les versions de BRATA en funció del país dels usuaris objectiu.

Ara, un informe de Cleafy, una empresa italiana de seguretat mòbil, mostra que BRATA ha evolucionat, encara més, transformant-se en una amenaça persistent que té com a objectiu mantenir-se als dispositius infectats. Les funcions ampliades de l'amenaça inclouen la capacitat d'enviar o interceptar missatges SMS, donant als atacants la possibilitat de recopilar codis temporals, com ara contrasenyes d'un sol ús (OTP) i les que s'utilitzen en mesures de seguretat d'autenticació de dos factors (2FA). BRATA també pot obtenir una càrrega útil de segona etapa del seu C2. El programari maliciós addicional es col·loca al dispositiu com a arxiu ZIP que conté un paquet "unrar.jar". Un cop executada, la càrrega útil actua com a keylogger que supervisa els esdeveniments generats per l'aplicació i els registra localment.

Finalment, les versions de programari maliciós BRATA analitzades per Cleafy van ser extremadament orientades. De fet, els actors de l'amenaça sembla que es centren en una sola institució financera alhora. Els atacants es traslladaran a la seva següent víctima només després que els seus esforços siguin neutralitzats per l'anterior mitjançant contramesures de seguretat. Aquest comportament ofereix als ciberdelinqüents l'oportunitat de reduir significativament la petjada del programari maliciós BRATA. Al cap i a la fi, l'amenaça ja no haurà d'accedir a la llista d'aplicacions instal·lades al dispositiu violat i després obtenir les injeccions corresponents del C2. Ara, el programari maliciós ve carregat prèviament amb només una superposició de pesca, minimitzant el seu trànsit C2 i les accions que ha de realitzar al dispositiu amfitrió.