Zlonamjerni softver BRATA

BRATA bankovni trojanac prvi put se pojavio 2019. godine u Brazilu. Prijetnja je bila usmjerena na Andoird uređaje i bila je sposobna napraviti snimke zaslona, instalirati nove aplikacije i uzrokovati da se zaraženi uređaj ugasi isključivanjem zaslona. Međutim, od tada, prijetnja je doživjela brzu evoluciju s više novih verzija od kojih je svaka imala proširene intruzivne mogućnosti. Na primjer, 2021. prijetnja je korištena u kampanjama napada na korisnike u Europi. Istraživači Infoseca otkrili su da se zlonamjerni softver BRATA širi putem lažnih anti-spam aplikacija. Prijeteće operacije uključivale su čak i lažne agente podrške koji su namamili korisnike da im pruže potpunu kontrolu nad svojim uređajima.

Početkom 2022., BRATA je postao još sofisticiraniji, uz dodatak korištenja GPS praćenja i višestrukih komunikacijskih kanala za postizanje Command-and-Control (C2, C&C) poslužitelja. Prijetnja je također dobila značajku vraćanja na tvorničke postavke, dopuštajući joj da obriše probijene uređaje nakon što su podaci na njima već eksfiltrirani. Akteri prijetnji također su prilagodili BRATA verzije ovisno o zemlji ciljanih korisnika.

Sada, izvješće Cleafyja, talijanske mobilne sigurnosne tvrtke, pokazuje da je BRATA evoluirao, čak i više, pretvarajući se u trajnu prijetnju koja se želi zadržati na zaraženim uređajima. Proširene funkcije prijetnje uključuju mogućnost slanja ili presretanja SMS poruka, učinkovito dajući napadačima mogućnost prikupljanja privremenih kodova, kao što su jednokratne lozinke (OTP) i one koje se koriste kod sigurnosnih mjera dvofaktorske autentifikacije (2FA). BRATA također može dohvatiti teret drugog stupnja iz svog C2. Dodatni zlonamjerni softver ispušta se na uređaj kao ZIP arhiva koja sadrži paket 'unrar.jar'. Nakon što se izvrši, korisni teret djeluje kao keylogger koji prati događaje generirane aplikacijom i lokalno ih bilježi.

Konačno, verzije zlonamjernog softvera BRATA koje je analizirao Cleafy bile su izrazito ciljane. Zapravo, čini se da se akteri prijetnji usredotočuju na jednu financijsku instituciju u isto vrijeme. Napadači će prijeći na svoju sljedeću žrtvu tek nakon što se njihov trud neutralizira od strane prethodne putem sigurnosnih protumjera. Ovo ponašanje daje kibernetičkim kriminalcima priliku da značajno smanje otisak zlonamjernog softvera BRATA. Naposljetku, prijetnja više neće morati pristupiti popisu aplikacija instaliranih na oštećenom uređaju, a zatim dohvatiti odgovarajuće injekcije s C2. Sada, zlonamjerni softver dolazi s unaprijed učitanim samo jednim prekrivačem za krađu identiteta, što minimizira njegov C2 promet i radnje koje treba izvršiti na glavnom uređaju.