BRATA-haittaohjelma

BRATA-pankkitroijalainen ilmestyi ensimmäisen kerran vuonna 2019 Brasiliassa. Uhka kohdistui Andoird-laitteisiin ja kykeni ottamaan kuvakaappauksia, asentamaan uusia sovelluksia ja saamaan tartunnan saaneen laitteen näyttämään sammutetulta sammuttamalla näytön. Siitä lähtien uhka on kuitenkin kehittynyt nopeasti useiden uusien versioiden myötä, joista jokaisella on laajennettu tunkeutumiskyky. Esimerkiksi vuonna 2021 uhkaa käytettiin hyökkäyskampanjoissa käyttäjiä vastaan Euroopassa. Infosecin tutkijat havaitsivat BRATA-haittaohjelman leviävän väärennettyjen roskapostintorjuntasovellusten kautta. Uhkaisiin toimiin kuului jopa väärennettyjä tukiagentteja, jotka houkuttelivat käyttäjiä antamaan heille täydellisen hallinnan laitteistaan.

Vuoden 2022 alussa BRATAsta tuli vieläkin kehittyneempi, kun siihen lisättiin GPS-seuranta ja useita viestintäkanavia Command-and-Control (C2, C&C) -palvelimien saavuttamiseksi. Uhka sai myös tehdasasetusten palautusominaisuuden, jonka avulla se voi pyyhkiä rikotut laitteet sen jälkeen, kun niiden tiedot oli jo suodatettu. Uhkatoimijat räätälöivät myös BRATA-versiot kohdekäyttäjien maan mukaan.

Nyt italialaisen mobiilitietoturvayhtiön Cleafyn raportti osoittaa, että BRATA on kehittynyt entisestään ja muuttunut jatkuvaksi uhkaksi, joka pyrkii tarttumaan tartunnan saaneisiin laitteisiin. Uhkaan laajennetut toiminnot sisältävät kyvyn lähettää tai siepata tekstiviestejä, mikä antaa hyökkääjille mahdollisuuden kerätä väliaikaisia koodeja, kuten kertaluonteisia salasanoja (OTP) ja kaksivaiheisen autentikoinnin (2FA) turvatoimiin käytettäviä koodeja. BRATA voi myös hakea toisen vaiheen hyötykuorman C2:staan. Ylimääräinen haittaohjelma pudotetaan laitteelle ZIP-arkistona, joka sisältää paketin "unrar.jar". Kun hyötykuorma on suoritettu, se toimii näppäinloggerina, joka tarkkailee sovelluksen luomia tapahtumia ja kirjaa ne lokiin paikallisesti.

Lopuksi Cleafyn analysoimat BRATA-haittaohjelmaversiot olivat erittäin kohdistettuja. Itse asiassa uhkatoimijat näyttävät keskittyvän yhteen rahoituslaitokseen kerrallaan. Hyökkääjät siirtyvät seuraavan uhrinsa luo vasta sen jälkeen, kun edellinen on neutraloinut heidän ponnistuksensa turvatoimien avulla. Tämä käyttäytyminen antaa kyberrikollisille mahdollisuuden vähentää merkittävästi BRATA-haittaohjelman jalanjälkeä. Loppujen lopuksi uhan ei enää tarvitse päästä rikotun laitteen sovellusluetteloon ja hakea sitten vastaavia injektioita C2:sta. Nyt haittaohjelmassa on valmiiksi ladattu vain yksi tietojenkalastelupeitto, mikä minimoi sen C2-liikenteen ja toiminnot, jotka sen tarvitsee suorittaa isäntälaitteella.