BRATA malware

Bankovní trojan BRATA se poprvé objevil v roce 2019 v Brazílii. Hrozba se zaměřovala na zařízení Andoird a byla schopna pořizovat snímky obrazovky, instalovat nové aplikace a způsobit, že infikované zařízení vypadalo jako vypnuté vypnutím obrazovky. Od té doby však tato hrozba prošla rychlým vývojem s několika novými verzemi, z nichž každá měla rozšířené intruzivní schopnosti. Například v roce 2021 byla hrozba použita v útočných kampaních proti uživatelům v Evropě. Výzkumníci společnosti Infosec zjistili, že malware BRATA se šíří prostřednictvím falešných antispamových aplikací. Hrozivé operace dokonce zahrnovaly falešné podpůrné agenty, kteří lákali uživatele, aby jim poskytli úplnou kontrolu nad jejich zařízeními.

Začátkem roku 2022 se BRATA stala ještě sofistikovanější, a to díky přidání sledování GPS a více komunikačních kanálů k dosažení serverů Command-and-Control (C2, C&C). Hrozba také získala funkci obnovení továrního nastavení, která jí umožňuje vymazat narušená zařízení poté, co data na nich již byla exfiltrována. Aktéři hrozeb také přizpůsobili verze BRATA v závislosti na zemi cílových uživatelů.

Nyní zpráva Cleafy, italské společnosti pro mobilní zabezpečení, ukazuje, že BRATA se vyvinula, ještě více, v trvalou hrozbu, jejímž cílem je držet se na infikovaných zařízeních. Mezi rozšířené funkce hrozby patří schopnost odesílat nebo zachycovat SMS zprávy, což útočníkům efektivně dává možnost shromažďovat dočasné kódy, jako jsou jednorázová hesla (OTP) a ty, které se používají v bezpečnostních opatřeních s dvoufaktorovou autentizací (2FA). BRATA také může načíst druhý stupeň užitečného zatížení ze svého C2. Další malware je do zařízení vypuštěn jako archiv ZIP obsahující balíček „unrar.jar“. Po spuštění se datová část chová jako keylogger, který monitoruje události generované aplikací a lokálně je zaznamenává.

A konečně, verze malwaru BRATA analyzované Cleafy byly extrémně cílené. Ve skutečnosti se zdá, že aktéři ohrožení se zaměřují na jednu finanční instituci najednou. Útočníci se přesunou ke své další oběti až poté, co jejich úsilí zneškodní předchozí pomocí bezpečnostních protiopatření. Toto chování dává kyberzločincům šanci výrazně snížit stopu malwaru BRATA. Koneckonců, hrozba již nebude muset přistupovat k seznamu aplikací nainstalovaných na prolomeném zařízení a následně získávat odpovídající injekce z C2. Nyní je malware předinstalovaný pouze s jedním phishingovým překrytím, což minimalizuje provoz C2 a akce, které potřebuje k provedení na hostitelském zařízení.