BRATA ļaunprātīga programmatūra

BRATA banku Trojas zirgs pirmo reizi parādījās 2019. gadā Brazīlijā. Draudi bija vērsti uz Andoird ierīcēm, un tie varēja veikt ekrānuzņēmumus, instalēt jaunas lietojumprogrammas un izraisīt inficētās ierīces izslēgšanu, izslēdzot ekrānu. Tomēr kopš tā laika draudi ir strauji attīstījušies ar vairākām jaunām versijām, kurām katrai bija paplašinātas iejaukšanās iespējas. Piemēram, 2021. gadā draudi tika izmantoti uzbrukuma kampaņās pret lietotājiem Eiropā. Infosec pētnieki atklāja, ka BRATA ļaunprogrammatūra tiek izplatīta, izmantojot viltotas pretsurogātpasta programmas. Draudošās operācijas ietvēra pat viltus atbalsta aģentus, kas mudināja lietotājus nodrošināt viņiem pilnīgu kontroli pār savām ierīcēm.

2022. gada sākumā BRATA kļuva vēl sarežģītāks, pievienojot GPS izsekošanu un vairākus sakaru kanālus, lai sasniegtu Command-and-Control (C2, C&C) serverus. Draudi saņēma arī rūpnīcas atiestatīšanas funkciju, ļaujot tam notīrīt bojātās ierīces pēc tam, kad tajās esošie dati jau bija izfiltrēti. Draudu dalībnieki arī pielāgoja BRATA versijas atkarībā no mērķa lietotāju valsts.

Tagad Itālijas mobilo sakaru drošības uzņēmuma Cleafy ziņojums liecina, ka BRATA ir attīstījusies vēl vairāk, pārvēršoties par pastāvīgu draudu, kura mērķis ir palikt uz inficētajām ierīcēm. Apdraudējuma paplašinātās funkcijas ietver iespēju nosūtīt vai pārtvert SMS ziņas, efektīvi dodot uzbrucējiem iespēju savākt pagaidu kodus, piemēram, vienreizējās paroles (OTP) un tos, kas tiek izmantoti divu faktoru autentifikācijas (2FA) drošības pasākumiem. BRATA var arī iegūt otrās pakāpes kravnesību no sava C2. Papildu ļaunprogrammatūra tiek ievietota ierīcē kā ZIP arhīvs, kurā ir pakotne “unrar.jar”. Kad tas ir izpildīts, lietderīgā slodze darbojas kā taustiņu reģistrators, kas uzrauga lietojumprogrammu ģenerētus notikumus un reģistrē tos lokāli.

Visbeidzot, Cleafy analizētās BRATA ļaunprātīgas programmatūras versijas bija ārkārtīgi mērķtiecīgas. Faktiski šķiet, ka apdraudējuma dalībnieki vienlaikus koncentrējas uz vienu finanšu iestādi. Uzbrucēji pāries pie sava nākamā upura tikai pēc tam, kad viņu centienus ar drošības pretpasākumiem neitralizēs iepriekšējais. Šāda rīcība sniedz kibernoziedzniekiem iespēju ievērojami samazināt BRATA ļaunprogrammatūras nospiedumu. Galu galā draudiem vairs nebūs jāpiekļūst bojātajā ierīcē instalēto lietojumprogrammu sarakstam un pēc tam jāiegūst atbilstošās injekcijas no C2. Tagad ļaunprātīgajai programmatūrai ir iepriekš ielādēts tikai viens pikšķerēšanas pārklājums, kas samazina tās C2 trafiku un darbības, kas tai jāveic saimniekierīcē.