BRATA Malware

Trojan perbankan BRATA pertama kali muncul pada tahun 2019 di Brazil. Ancaman itu menyasarkan peranti Andoird dan mampu membuat tangkapan skrin, memasang aplikasi baharu dan menyebabkan peranti yang dijangkiti kelihatan ditutup dengan mematikan skrin. Walau bagaimanapun, sejak itu, ancaman telah mengalami evolusi pesat dengan berbilang versi baharu yang masing-masing memiliki keupayaan pencerobohan yang diperluaskan. Sebagai contoh, pada tahun 2021 ancaman itu digunakan dalam kempen serangan terhadap pengguna di Eropah. Penyelidik Infosec mendapati malware BRATA disebarkan melalui aplikasi anti-spam palsu. Operasi yang mengancam malah termasuk ejen sokongan palsu yang memikat pengguna untuk memberikan mereka kawalan penuh ke atas peranti mereka.

Pada permulaan tahun 2022, BRATA menjadi lebih canggih, melalui penambahan menggunakan penjejakan GPS dan berbilang saluran komunikasi untuk mencapai pelayan Command-and-Control (C2, C&C). Ancaman itu juga menerima ciri tetapan semula kilang, membenarkannya memadam peranti yang dilanggar selepas data padanya telah dieksfiltrasi. Pelakon ancaman juga menyesuaikan versi BRATA bergantung pada negara pengguna yang disasarkan.

Kini, laporan oleh Cleafy, sebuah syarikat keselamatan mudah alih Itali, menunjukkan bahawa BRATA telah berkembang, lebih-lebih lagi, berubah menjadi ancaman berterusan yang bertujuan untuk bertahan pada peranti yang dijangkiti. Fungsi ancaman yang diperluaskan termasuk keupayaan untuk menghantar atau memintas mesej SMS, dengan berkesan memberikan penyerang keupayaan untuk mengumpul kod sementara, seperti kata laluan satu kali (OTP) dan yang digunakan pada langkah keselamatan pengesahan dua faktor (2FA). BRATA juga boleh mengambil muatan peringkat kedua daripada C2nya. Malware tambahan digugurkan pada peranti sebagai arkib ZIP yang mengandungi pakej 'unrar.jar'. Setelah dilaksanakan, muatan bertindak sebagai keylogger yang memantau peristiwa yang dijana aplikasi dan mencatatnya secara tempatan.

Akhirnya, versi malware BRATA yang dianalisis oleh Cleafy sangat disasarkan. Malah, pelaku ancaman kelihatan memberi tumpuan kepada satu institusi kewangan pada satu masa. Penyerang akan berpindah ke mangsa seterusnya hanya selepas usaha mereka dinetralkan oleh yang sebelumnya melalui langkah-langkah keselamatan. Tingkah laku ini memberi peluang kepada penjenayah siber untuk mengurangkan kesan malware BRATA dengan ketara. Lagipun, ancaman tidak lagi perlu mengakses senarai aplikasi yang dipasang pada peranti yang dilanggar dan kemudian mengambil suntikan yang sepadan daripada C2. Kini, perisian hasad datang pra-muat dengan hanya satu tindanan pancingan data, meminimumkan trafik C2 dan tindakan yang perlu dilakukan pada peranti hos.