Threat Database Malware BRATA skadelig programvare

BRATA skadelig programvare

BRATA-banktrojaneren dukket først opp i 2019 i Brasil. Trusselen var rettet mot Andoird-enheter og var i stand til å ta skjermbilder, installere nye applikasjoner og få den infiserte enheten til å se ut til å være slått av ved å slå av skjermen. Siden da har trusselen imidlertid gjennomgått en rask utvikling med flere nye versjoner som hver hadde utvidede påtrengende evner. For eksempel ble trusselen i 2021 brukt i angrepskampanjer mot brukere i Europa. Infosec-forskere oppdaget at BRATA-malwaren ble spredt via falske anti-spam-applikasjoner. De truende operasjonene inkluderte til og med falske støtteagenter som lokket brukere til å gi dem full kontroll over enhetene deres.

Ved starten av 2022 ble BRATA enda mer sofistikert, ved å bruke GPS-sporing og flere kommunikasjonskanaler for å nå Command-and-Control (C2, C&C) servere. Trusselen mottok også en fabrikktilbakestillingsfunksjon, slik at den kunne tørke de brutte enhetene etter at dataene på dem allerede var eksfiltrert. Trusselaktørene skreddersydde også BRATA-versjonene avhengig av landet til de målrettede brukerne.

Nå viser en rapport fra Cleafy, et italiensk mobilsikkerhetsselskap, at BRATA har utviklet seg, enda mer, forvandlet til en vedvarende trussel som tar sikte på å holde seg på de infiserte enhetene. De utvidede funksjonene til trusselen inkluderer muligheten til å sende eller avskjære SMS-meldinger, noe som effektivt gir angriperne muligheten til å samle inn midlertidige koder, for eksempel engangspassord (OTP) og de som brukes på sikkerhetstiltak for tofaktorautentisering (2FA). BRATA kan også hente en andretrinns nyttelast fra sin C2. Den ekstra skadevare slippes på enheten som et ZIP-arkiv som inneholder en 'unrar.jar'-pakke. Når den er utført, fungerer nyttelasten som en nøkkellogger som overvåker applikasjonsgenererte hendelser og logger dem lokalt.

Til slutt var BRATA malware-versjonene analysert av Cleafy ekstremt målrettede. Faktisk ser det ut til at trusselaktørene fokuserer på en enkelt finansinstitusjon om gangen. Angriperne vil flytte til sitt neste offer først etter at deres innsats er nøytralisert av det forrige via sikkerhetsmottiltak. Denne oppførselen gir nettkriminelle sjansen til å redusere fotavtrykket til BRATA-malwaren betydelig. Tross alt vil trusselen ikke lenger trenge å få tilgang til listen over applikasjoner installert på den brutte enheten og deretter hente de tilsvarende injeksjonene fra C2. Nå kommer skadelig programvare forhåndslastet med bare ett phishing-overlegg, noe som minimerer C2-trafikken og handlingene den trenger for å utføre på vertsenheten.

Trender

Mest sett

Laster inn...