Malware BRATA

Il Trojan bancario BRATA è apparso per la prima volta nel 2019 in Brasile. La minaccia prendeva di mira i dispositivi Andoird ed era in grado di acquisire schermate, installare nuove applicazioni e far apparire il dispositivo infetto spento spegnendo lo schermo. Tuttavia, da allora, la minaccia ha subito una rapida evoluzione con più nuove versioni che possedevano ciascuna capacità intrusive ampliate. Ad esempio, nel 2021 la minaccia è stata utilizzata in campagne di attacco contro utenti in Europa. I ricercatori di Infosec hanno scoperto che il malware BRATA viene diffuso tramite false applicazioni anti-spam. Le operazioni minacciose includevano anche falsi agenti di supporto che hanno indotto gli utenti a fornire loro il controllo completo sui loro dispositivi.

All'inizio del 2022, BRATA è diventata ancora più sofisticata, grazie all'aggiunta dell'utilizzo del tracciamento GPS e di più canali di comunicazione per raggiungere i server Command-and-Control (C2, C&C). La minaccia ha anche ricevuto una funzione di ripristino delle impostazioni di fabbrica, che le ha consentito di cancellare i dispositivi violati dopo che i dati su di essi erano già stati esfiltrati. Gli attori delle minacce hanno anche adattato le versioni BRATA a seconda del paese degli utenti presi di mira.

Ora, un rapporto di Cleafy, un'azienda italiana di sicurezza mobile, mostra che BRATA si è evoluto ancora di più, trasformandosi in una minaccia persistente che mira a rimanere sui dispositivi infetti. Le funzioni estese della minaccia includono la possibilità di inviare o intercettare messaggi SMS, dando in modo efficace agli aggressori la possibilità di raccogliere codici temporanei, come password monouso (OTP) e quelle utilizzate sulle misure di sicurezza dell'autenticazione a due fattori (2FA). BRATA può anche recuperare un carico utile di secondo stadio dal suo C2. Il malware aggiuntivo viene rilasciato sul dispositivo come archivio ZIP contenente un pacchetto "unrar.jar". Una volta eseguito, il payload funge da keylogger che monitora gli eventi generati dall'applicazione e li registra localmente.

Infine, le versioni del malware BRATA analizzate da Cleafy sono state estremamente mirate. In effetti, gli attori della minaccia sembrano concentrarsi su un singolo istituto finanziario alla volta. Gli aggressori passeranno alla prossima vittima solo dopo che i loro sforzi sono stati neutralizzati dalla precedente tramite contromisure di sicurezza. Questo comportamento offre ai criminali informatici la possibilità di ridurre significativamente l'impronta del malware BRATA. Dopotutto, la minaccia non dovrà più accedere all'elenco delle applicazioni installate sul dispositivo violato e quindi recuperare le iniezioni corrispondenti dal C2. Ora, il malware viene precaricato con un solo overlay di phishing, riducendo al minimo il suo traffico C2 e le azioni che deve eseguire sul dispositivo host.