BRATA kenkėjiška programa

BRATA bankininkystės Trojos arklys pirmą kartą pasirodė Brazilijoje 2019 m. Grėsmė buvo nukreipta į Andoird įrenginius ir galėjo daryti ekrano fiksavimus, įdiegti naujas programas ir priversti užkrėstą įrenginį išjungti išjungus ekraną. Tačiau nuo to laiko grėsmė sparčiai evoliucionavo ir atsirado kelios naujos versijos, kurių kiekviena turėjo išplėstines įsilaužimo galimybes. Pavyzdžiui, 2021 m. grėsmė buvo naudojama atakų kampanijose prieš vartotojus Europoje. „Infosec“ tyrėjai atrado, kad BRATA kenkėjiška programa plinta naudojant netikras anti-spam programas. Į grėsmingas operacijas buvo įtraukti net netikri palaikymo agentai, kurie viliojo vartotojus visiškai valdyti savo įrenginius.

2022 m. pradžioje BRATA tapo dar sudėtingesnė, nes buvo naudojamas GPS sekimas ir keli ryšio kanalai, kad pasiektų komandų ir valdymo (C2, C&C) serverius. Grėsmė taip pat gavo gamyklinių parametrų atkūrimo funkciją, leidžiančią nuvalyti pažeistus įrenginius, kai jau buvo išfiltruoti jų duomenys. Grėsmės veikėjai taip pat pritaikė BRATA versijas, atsižvelgdami į tikslinių vartotojų šalį.

Dabar Italijos mobiliojo ryšio saugos bendrovės „Cleafy“ ataskaita rodo, kad BRATA dar labiau išsivystė į nuolatinę grėsmę, kuria siekiama užsikrėsti užkrėstuose įrenginiuose. Išplėstos grėsmės funkcijos apima galimybę siųsti arba perimti SMS žinutes, efektyviai suteikiant užpuolikams galimybę rinkti laikinus kodus, tokius kaip vienkartiniai slaptažodžiai (OTP) ir naudojami dviejų veiksnių autentifikavimo (2FA) saugumo priemonėms. BRATA taip pat gali gauti antros pakopos naudingąją apkrovą iš savo C2. Papildoma kenkėjiška programa nuleidžiama į įrenginį kaip ZIP archyvas, kuriame yra paketas „unrar.jar“. Kai vykdoma, naudingoji apkrova veikia kaip klavišų registratorius, stebintis programos sugeneruotus įvykius ir registruojantis juos vietoje.

Galiausiai Cleafy išanalizuotos BRATA kenkėjiškų programų versijos buvo itin tikslingos. Tiesą sakant, grėsmės veikėjai vienu metu sutelkia dėmesį į vieną finansų įstaigą. Užpuolikai pereis prie kitos aukos tik po to, kai jų pastangas neutralizavo ankstesnė taikant saugumo atsakomąsias priemones. Toks elgesys suteikia kibernetiniams nusikaltėliams galimybę žymiai sumažinti BRATA kenkėjiškų programų pėdsaką. Juk grėsmei nebereikės prieiti prie pažeistame įrenginyje įdiegtų programų sąrašo ir tada gauti atitinkamų injekcijų iš C2. Dabar kenkėjiška programa yra iš anksto įkelta tik su viena sukčiavimo perdanga, sumažindama jos C2 srautą ir veiksmus, kuriuos ji turi atlikti pagrindiniame įrenginyje.