بدافزار BRATA

تروجان بانکی BRATA برای اولین بار در سال 2019 در برزیل ظاهر شد. این تهدید دستگاه‌های Andoird را هدف قرار می‌داد و می‌توانست از صفحه نمایش عکس بگیرد، برنامه‌های جدید نصب کند و باعث شود دستگاه آلوده با خاموش کردن صفحه خاموش به نظر برسد. با این حال، از آن زمان، این تهدید با چندین نسخه جدید که هر کدام دارای قابلیت‌های نفوذی گسترده‌ای بودند، دچار تکامل سریع شده است. به عنوان مثال، در سال 2021 از این تهدید در کمپین های حمله علیه کاربران در اروپا استفاده شد. محققان Infosec کشف کردند که بدافزار BRATA از طریق برنامه های ضد هرزنامه جعلی منتشر می شود. این عملیات تهدیدآمیز حتی شامل عوامل پشتیبانی جعلی نیز می‌شد که کاربران را به کنترل کامل بر دستگاه‌هایشان ترغیب می‌کرد.

در آغاز سال 2022، BRATA با افزودن استفاده از ردیابی GPS و چندین کانال ارتباطی برای دسترسی به سرورهای Command-and-Control (C2, C&C) پیچیده‌تر شد. این تهدید همچنین یک ویژگی بازنشانی کارخانه ای دریافت کرده است که به آن اجازه می دهد تا پس از استخراج داده های موجود در آنها، دستگاه های نقض شده را پاک کند. بازیگران تهدید همچنین نسخه های BRATA را بسته به کشور کاربران هدف تنظیم کردند.

اکنون، گزارشی از سوی Cleafy، یک شرکت ایتالیایی امنیت موبایل، نشان می‌دهد که BRATA، حتی بیشتر، به یک تهدید دائمی تبدیل شده است که هدف آن حفظ دستگاه‌های آلوده است. توابع گسترش یافته تهدید شامل توانایی ارسال یا رهگیری پیام های اس ام اس است که به طور موثر به مهاجمان توانایی جمع آوری کدهای موقت مانند رمزهای عبور یکبار مصرف (OTP) و موارد استفاده شده در اقدامات امنیتی دو مرحله ای (2FA) را می دهد. براتا همچنین می‌تواند محموله مرحله دوم را از C2 خود دریافت کند. بدافزار اضافی به عنوان بایگانی ZIP حاوی بسته "unrar.jar" بر روی دستگاه حذف می شود. پس از اجرا، payload به عنوان یک keylogger عمل می کند که رویدادهای ایجاد شده توسط برنامه را نظارت می کند و آنها را به صورت محلی ثبت می کند.

در نهایت، نسخه های بدافزار BRATA که توسط Cleafy تجزیه و تحلیل شده بود، بسیار هدفمند شدند. در واقع، به نظر می رسد بازیگران تهدید در یک زمان بر یک موسسه مالی واحد تمرکز می کنند. مهاجمان تنها پس از خنثی شدن تلاش های آنها توسط قربانی قبلی از طریق اقدامات متقابل امنیتی، به سمت قربانی بعدی خود حرکت خواهند کرد. این رفتار به مجرمان سایبری این فرصت را می دهد که به میزان قابل توجهی ردپای بدافزار BRATA را کاهش دهند. از این گذشته، تهدید دیگر نیازی به دسترسی به لیست برنامه های نصب شده روی دستگاه نقض شده و سپس دریافت تزریق های مربوطه از C2 نخواهد داشت. اکنون، بدافزار تنها با یک پوشش فیشینگ از پیش بارگذاری شده است، که ترافیک C2 و اقداماتی را که باید روی دستگاه میزبان انجام دهد به حداقل می رساند.