תוכנה זדונית של BRATA

הטרויאני הבנקאי BRATA הופיע לראשונה בשנת 2019 בברזיל. האיום כיוון למכשירי Andoird והיה מסוגל לבצע לכידת מסך, להתקין אפליקציות חדשות ולגרום למכשיר הנגוע להיראות כבוי על ידי כיבוי המסך. עם זאת, מאז, האיום עבר התפתחות מהירה עם מספר גרסאות חדשות שלכל אחת מהן היו יכולות פולשניות מורחבות. לדוגמה, בשנת 2021 נעשה שימוש באיום בקמפיינים של תקיפה נגד משתמשים באירופה. חוקרי Infosec גילו את התוכנה הזדונית BRATA מופצת באמצעות יישומי אנטי-ספאם מזויפים. הפעולות המאיימות אפילו כללו סוכני תמיכה מזויפים שפיתו משתמשים לספק להם שליטה מלאה על המכשירים שלהם.

בתחילת 2022, BRATA השתכללה עוד יותר, באמצעות תוספת של שימוש במעקב GPS ומספר ערוצי תקשורת כדי להגיע לשרתי פיקוד ושליטה (C2, C&C). האיום קיבל גם תכונת איפוס להגדרות היצרן, המאפשרת לו למחוק את המכשירים שנפרצו לאחר שהנתונים עליהם כבר הוצאו. שחקני האיום גם התאימו את גרסאות BRATA בהתאם למדינת המשתמשים הממוקדים.

כעת, דוח של Cleafy, חברת אבטחה ניידת איטלקית, מראה ש-BRATA התפתח, אפילו יותר, והפך לאיום מתמשך שמטרתו להישאר במכשירים הנגועים. הפונקציות המורחבות של האיום כוללות את היכולת לשלוח או ליירט הודעות SMS, המעניקות למעשה לתוקפים את היכולת לאסוף קודים זמניים, כגון סיסמאות חד פעמיות (OTP) ואלה המשמשות באמצעי אבטחה של אימות דו-גורמי (2FA). BRATA גם יכול להביא מטען שלב שני מה-C2 שלו. התוכנה הזדונית הנוספת מונחת על המכשיר כארכיון ZIP המכיל חבילת 'unrar.jar'. לאחר ביצוע, המטען פועל כ-keylogger המנטר אירועים שנוצרו על ידי יישומים ורושם אותם באופן מקומי.

לבסוף, גרסאות הזדוניות של BRATA שנותחו על ידי Cleafy היו ממוקדות ביותר. למעשה, נראה ששחקני האיום מתמקדים במוסד פיננסי בודד בכל פעם. התוקפים יעברו לקורבן הבא שלהם רק לאחר שהמאמצים שלהם ינוטרלו על ידי הקורבן הקודם באמצעות אמצעי נגד אבטחה. התנהגות זו נותנת לפושעי הסייבר את ההזדמנות להפחית באופן משמעותי את טביעת הרגל של תוכנת זדונית BRATA. אחרי הכל, האיום כבר לא יצטרך לגשת לרשימת האפליקציות המותקנות במכשיר הפרוץ ואז להביא את ההזרקות המתאימות מה-C2. כעת, התוכנה הזדונית נטענת מראש עם שכבת-על אחת בלבד של פישינג, ומצמצמת את תעבורת ה-C2 שלה ואת הפעולות שהיא צריכה לבצע במכשיר המארח.