BRATA rosszindulatú program

A BRATA banki trójai először 2019-ben jelent meg Brazíliában. A fenyegetés az Andoird eszközöket célozta meg, és képes volt képernyőképeket készíteni, új alkalmazásokat telepíteni, és a képernyő kikapcsolásával a fertőzött eszköz leállítását okozta. Azóta azonban a fenyegetés gyors fejlődésen ment keresztül, és több új verzió is megjelent, amelyek mindegyike kibővített behatoló képességekkel rendelkezik. Például 2021-ben a fenyegetést a felhasználók elleni támadási kampányokban használták Európában. Az Infosec kutatói felfedezték, hogy a BRATA rosszindulatú programot hamis anti-spam alkalmazásokon keresztül terjesztik. A fenyegető műveletek között még hamis támogatási ügynökök is szerepeltek, amelyek arra késztették a felhasználókat, hogy teljes irányítást biztosítsanak számukra eszközeik felett.

2022 elején a BRATA még kifinomultabbá vált a GPS-követés és több kommunikációs csatorna hozzáadásával a Command-and-Control (C2, C&C) szerverek eléréséhez. A fenyegetés gyári alaphelyzetbe állítás funkciót is kapott, amely lehetővé teszi a feltört eszközök törlését, miután a rajtuk lévő adatokat már kiszűrték. A fenyegetés szereplői a BRATA-verziókat is a megcélzott felhasználók országától függően alakították ki.

A Cleafy, egy olasz mobilbiztonsági cég jelentése azt mutatja, hogy a BRATA még tovább fejlődött, és állandó fenyegetéssé alakult át, amelynek célja, hogy a fertőzött eszközökön megmaradjon. A fenyegetés kibővített funkciói közé tartozik az SMS-üzenetek küldésének vagy lehallgatásának képessége, ami hatékonyan lehetővé teszi a támadók számára, hogy ideiglenes kódokat gyűjtsenek, például egyszeri jelszavakat (OTP) és a kéttényezős hitelesítéshez (2FA) használtakat. A BRATA másodlagos rakományt is tud tölteni a C2-ből. A további rosszindulatú program az „unrar.jar” csomagot tartalmazó ZIP-archívumként kerül az eszközre. A végrehajtást követően a hasznos adat kulcsnaplózóként működik, amely figyeli az alkalmazások által generált eseményeket, és helyileg naplózza azokat.

Végül a Cleafy által elemzett BRATA malware verziók rendkívül célzottak voltak. Valójában úgy tűnik, hogy a fenyegetés szereplői egyszerre egyetlen pénzintézetre összpontosítanak. A támadók csak akkor költöznek a következő áldozatukhoz, ha erőfeszítéseiket az előző biztonsági ellenintézkedésekkel semlegesíti. Ez a viselkedés lehetőséget ad a kiberbűnözőknek, hogy jelentősen csökkentsék a BRATA rosszindulatú program lábnyomát. Végül is a fenyegetésnek nem kell többé hozzáférnie a feltört eszközre telepített alkalmazások listájához, majd lekérnie a megfelelő injekciókat a C2-ről. A rosszindulatú program most már csak egyetlen adathalász fedvényt tartalmaz, így minimálisra csökkenti a C2-forgalmat és a gazdaeszközön végrehajtandó műveleteket.