BRATA Malware

BRATA 뱅킹 트로이목마는 2019년 브라질에서 처음 등장했습니다. 이 위협은 Andoird 장치를 대상으로 했으며 화면을 캡처하고, 새 애플리케이션을 설치하고, 화면을 꺼서 감염된 장치가 종료된 것처럼 보이게 할 수 있었습니다. 그러나 그 이후로 위협은 각각 확장된 침입 기능을 보유한 여러 개의 새 버전으로 빠르게 진화했습니다. 예를 들어, 2021년에 위협은 유럽의 사용자에 대한 공격 캠페인에 사용되었습니다. Infosec 연구원은 가짜 스팸 방지 응용 프로그램을 통해 확산되는 BRATA 멀웨어를 발견했습니다. 위협적인 작업에는 사용자가 장치에 대한 완전한 제어를 제공하도록 유인하는 가짜 지원 에이전트도 포함되었습니다.

2022년 초에 BRATA는 GPS 추적 및 다중 통신 채널을 사용하여 명령 및 제어(C2, C&C) 서버에 도달하는 추가 기능을 통해 더욱 정교해졌습니다. 위협은 또한 데이터가 이미 유출된 후 침해된 장치를 지울 수 있는 공장 초기화 기능을 받았습니다. 위협 행위자는 또한 표적 사용자의 국가에 따라 BRATA 버전을 조정했습니다.

이제 이탈리아 모바일 보안 회사인 Cleafy의 보고서에 따르면 BRATA는 더욱 진화하여 감염된 장치에 계속 남아 있는 것을 목표로 하는 지속적인 위협으로 변모했습니다. 위협의 확장된 기능에는 SMS 메시지를 보내거나 가로채는 기능이 포함되어 공격자에게 OTP(일회성 암호) 및 2FA(2단계 인증) 보안 조치에 사용되는 임시 코드와 같은 임시 코드를 효과적으로 수집할 수 있습니다. BRATA는 또한 C2에서 2단계 페이로드를 가져올 수 있습니다. 추가 맬웨어는 'unrar.jar' 패키지가 포함된 ZIP 아카이브로 장치에 삭제됩니다. 일단 실행되면 페이로드는 애플리케이션 생성 이벤트를 모니터링하고 로컬로 기록하는 키로거 역할을 합니다.

마지막으로 Cleafy가 분석한 BRATA 멀웨어 버전은 극도로 표적이 되었습니다. 실제로 위협 행위자는 한 번에 하나의 금융 기관에 집중하는 것으로 보입니다. 공격자는 보안 대책을 통해 이전 공격에 의해 무력화된 후에야 다음 희생자로 이동합니다. 이 동작은 사이버 범죄자에게 BRATA 멀웨어의 발자국을 크게 줄일 수 있는 기회를 제공합니다. 결국 위협은 침해된 장치에 설치된 애플리케이션 목록에 더 이상 액세스한 다음 C2에서 해당 주입을 가져올 필요가 없습니다. 이제 멀웨어는 단 하나의 피싱 오버레이와 함께 사전 로드되어 C2 트래픽과 호스트 장치에서 수행해야 하는 작업을 최소화합니다.