بدافزار BRATA
تروجان بانکی BRATA برای اولین بار در سال 2019 در برزیل ظاهر شد. این تهدید دستگاههای Andoird را هدف قرار میداد و میتوانست از صفحه نمایش عکس بگیرد، برنامههای جدید نصب کند و باعث شود دستگاه آلوده با خاموش کردن صفحه خاموش به نظر برسد. با این حال، از آن زمان، این تهدید با چندین نسخه جدید که هر کدام دارای قابلیتهای نفوذی گستردهای بودند، دچار تکامل سریع شده است. به عنوان مثال، در سال 2021 از این تهدید در کمپین های حمله علیه کاربران در اروپا استفاده شد. محققان Infosec کشف کردند که بدافزار BRATA از طریق برنامه های ضد هرزنامه جعلی منتشر می شود. این عملیات تهدیدآمیز حتی شامل عوامل پشتیبانی جعلی نیز میشد که کاربران را به کنترل کامل بر دستگاههایشان ترغیب میکرد.
در آغاز سال 2022، BRATA با افزودن استفاده از ردیابی GPS و چندین کانال ارتباطی برای دسترسی به سرورهای Command-and-Control (C2, C&C) پیچیدهتر شد. این تهدید همچنین یک ویژگی بازنشانی کارخانه ای دریافت کرده است که به آن اجازه می دهد تا پس از استخراج داده های موجود در آنها، دستگاه های نقض شده را پاک کند. بازیگران تهدید همچنین نسخه های BRATA را بسته به کشور کاربران هدف تنظیم کردند.
اکنون، گزارشی از سوی Cleafy، یک شرکت ایتالیایی امنیت موبایل، نشان میدهد که BRATA، حتی بیشتر، به یک تهدید دائمی تبدیل شده است که هدف آن حفظ دستگاههای آلوده است. توابع گسترش یافته تهدید شامل توانایی ارسال یا رهگیری پیام های اس ام اس است که به طور موثر به مهاجمان توانایی جمع آوری کدهای موقت مانند رمزهای عبور یکبار مصرف (OTP) و موارد استفاده شده در اقدامات امنیتی دو مرحله ای (2FA) را می دهد. براتا همچنین میتواند محموله مرحله دوم را از C2 خود دریافت کند. بدافزار اضافی به عنوان بایگانی ZIP حاوی بسته "unrar.jar" بر روی دستگاه حذف می شود. پس از اجرا، payload به عنوان یک keylogger عمل می کند که رویدادهای ایجاد شده توسط برنامه را نظارت می کند و آنها را به صورت محلی ثبت می کند.
در نهایت، نسخه های بدافزار BRATA که توسط Cleafy تجزیه و تحلیل شده بود، بسیار هدفمند شدند. در واقع، به نظر می رسد بازیگران تهدید در یک زمان بر یک موسسه مالی واحد تمرکز می کنند. مهاجمان تنها پس از خنثی شدن تلاش های آنها توسط قربانی قبلی از طریق اقدامات متقابل امنیتی، به سمت قربانی بعدی خود حرکت خواهند کرد. این رفتار به مجرمان سایبری این فرصت را می دهد که به میزان قابل توجهی ردپای بدافزار BRATA را کاهش دهند. از این گذشته، تهدید دیگر نیازی به دسترسی به لیست برنامه های نصب شده روی دستگاه نقض شده و سپس دریافت تزریق های مربوطه از C2 نخواهد داشت. اکنون، بدافزار تنها با یک پوشش فیشینگ از پیش بارگذاری شده است، که ترافیک C2 و اقداماتی را که باید روی دستگاه میزبان انجام دهد به حداقل می رساند.