BRATA pahavara
BRATA pangandustroojalane ilmus esmakordselt 2019. aastal Brasiilias. Oht oli suunatud Andoirdi seadmetele ja suutis teha ekraanipilte, installida uusi rakendusi ja panna nakatunud seadme väljalülitamisega ekraani välja lülitama. Sellest ajast saadik on oht aga kiiresti arenenud mitme uue versiooniga, millest igaühel on laiendatud sekkumisvõimalused. Näiteks 2021. aastal kasutati seda ohtu Euroopa kasutajate vastu suunatud rünnakukampaaniates. Infoseci teadlased avastasid, et BRATA pahavara levib võltsitud rämpspostitõrjerakenduste kaudu. Ähvardavad operatsioonid hõlmasid isegi võltsitud tugiagente, mis meelitasid kasutajaid pakkuma neile täielikku kontrolli oma seadmete üle.
2022. aasta alguses muutus BRATA veelgi keerukamaks, kuna lisandus GPS-jälgimise ja mitme sidekanali kasutamine, et jõuda Command-and-Control (C2, C&C) serveriteni. Oht sai ka tehaseseadetele lähtestamise, mis võimaldab rikutud seadmed kustutada pärast seda, kui nende andmed olid juba välja filtreeritud. Ohutegurid kohandasid ka BRATA versioone olenevalt sihtkasutajate riigist.
Nüüd näitab Itaalia mobiiliturbefirma Cleafy aruanne, et BRATA on veelgi enam arenenud, muutudes püsivaks ohuks, mille eesmärk on nakatunud seadmetes püsida. Ohu laiendatud funktsioonid hõlmavad SMS-sõnumite saatmise või pealtkuulamise võimalust, mis annab ründajatele tõhusalt võimaluse koguda ajutisi koode, nagu ühekordsed paroolid (OTP) ja need, mida kasutatakse kahefaktorilise autentimise (2FA) turvameetmete jaoks. BRATA saab oma C2-lt tuua ka teise astme kasuliku koormuse. Täiendav pahavara visatakse seadmesse ZIP-arhiivina, mis sisaldab paketti „unrar.jar”. Pärast käivitamist toimib kasulik koormus klahvilogijana, mis jälgib rakenduse loodud sündmusi ja logib need kohapeal.
Lõpuks olid Cleafy analüüsitud BRATA pahavara versioonid äärmiselt sihitud. Tegelikult näivad ohus osalejad keskenduvat korraga ühele finantsasutusele. Ründajad liiguvad oma järgmise ohvri juurde alles pärast seda, kui eelmine on nende jõupingutused turvameetmete abil neutraliseerinud. Selline käitumine annab küberkurjategijatele võimaluse oluliselt vähendada BRATA pahavara jalajälge. Lõppude lõpuks ei pea ähvardus enam pääsema rikutud seadmesse installitud rakenduste loendisse ja seejärel hankima C2-st vastavaid süste. Nüüd on pahavara eellaaditud vaid ühe andmepüügiülekattega, mis minimeerib selle C2-liikluse ja toimingud, mida see hostseadmes peab tegema.
