Threat Database Malware BRATA Malware

BRATA Malware

BRATA-banktrojaneren dukkede første gang op tilbage i 2019 i Brasilien. Truslen var rettet mod Andoird-enheder og var i stand til at tage skærmbilleder, installere nye applikationer og få den inficerede enhed til at se ud til at være lukket ned ved at slukke for skærmen. Men siden da har truslen gennemgået en hurtig udvikling med flere nye versioner, der hver især besad udvidede påtrængende kapaciteter. For eksempel blev truslen i 2021 brugt i angrebskampagner mod brugere i Europa. Infosec-forskere opdagede, at BRATA-malwaren blev spredt via falske anti-spam-applikationer. De truende operationer inkluderede endda falske supportagenter, der lokkede brugere til at give dem fuldstændig kontrol over deres enheder.

I starten af 2022 blev BRATA endnu mere sofistikeret, via tilføjelsen af at bruge GPS-sporing og flere kommunikationskanaler for at nå Command-and-Control (C2, C&C) serverne. Truslen modtog også en fabriksnulstillingsfunktion, så den kunne slette de overtrådte enheder, efter at dataene på dem allerede var blevet eksfiltreret. Trusselsaktørerne skræddersyede også BRATA-versionerne afhængigt af de målrettede brugeres land.

Nu viser en rapport fra Cleafy, et italiensk mobilsikkerhedsfirma, at BRATA i endnu højere grad har udviklet sig til en vedvarende trussel, der har til formål at holde sig fast på de inficerede enheder. Truslens udvidede funktioner omfatter muligheden for at sende eller opsnappe SMS-beskeder, hvilket effektivt giver angriberne mulighed for at indsamle midlertidige koder, såsom engangskodeord (OTP) og dem, der bruges til sikkerhedsforanstaltninger med to-faktor-godkendelse (2FA). BRATA kan også hente en anden trins nyttelast fra sin C2. Den ekstra malware bliver droppet på enheden som et ZIP-arkiv, der indeholder en 'unrar.jar'-pakke. Når den er udført, fungerer nyttelasten som en keylogger, der overvåger applikationsgenererede hændelser og logger dem lokalt.

Endelig var BRATA-malwareversionerne analyseret af Cleafy ekstremt målrettede. Faktisk ser trusselsaktørerne ud til at fokusere på en enkelt finansiel institution ad gangen. Angriberne vil først flytte til deres næste offer, efter at deres indsats er neutraliseret af den forrige via sikkerhedsmæssige modforanstaltninger. Denne adfærd giver cyberkriminelle chancen for at reducere fodaftrykket af BRATA-malwaren markant. Trods alt behøver truslen ikke længere at få adgang til listen over applikationer installeret på den brudte enhed og derefter hente de tilsvarende injektioner fra C2. Nu kommer malwaren forudindlæst med kun én phishing-overlejring, hvilket minimerer dens C2-trafik og de handlinger, den skal udføre på værtsenheden.

Trending

Mest sete

Indlæser...