BRATA-malware
De BRATA banking Trojan verscheen voor het eerst in 2019 in Brazilië. De dreiging was gericht op Andoird-apparaten en was in staat om schermafbeeldingen te maken, nieuwe applicaties te installeren en ervoor te zorgen dat het geïnfecteerde apparaat werd uitgeschakeld door het scherm uit te schakelen. Sindsdien heeft de dreiging echter een snelle evolutie doorgemaakt met meerdere nieuwe versies die elk uitgebreide intrusieve mogelijkheden bezaten. Zo werd de dreiging in 2021 gebruikt in aanvalscampagnes tegen gebruikers in Europa. Onderzoekers van Infosec ontdekten dat de BRATA-malware werd verspreid via valse antispamtoepassingen. De bedreigende operaties omvatten zelfs nep-ondersteuningsagenten die gebruikers verleidden om hen volledige controle over hun apparaten te geven.
Begin 2022 werd BRATA nog geavanceerder door de toevoeging van GPS-tracking en meerdere communicatiekanalen om de Command-and-Control (C2, C&C)-servers te bereiken. De dreiging kreeg ook een fabrieksresetfunctie, waardoor het de geschonden apparaten kon wissen nadat de gegevens erop al waren geëxfiltreerd. De dreigingsactoren hebben ook de BRATA-versies aangepast, afhankelijk van het land van de beoogde gebruikers.
Nu blijkt uit een rapport van Cleafy, een Italiaans bedrijf voor mobiele beveiliging, dat BRATA is geëvolueerd, zelfs meer, en is veranderd in een aanhoudende dreiging die erop gericht is om op de geïnfecteerde apparaten te blijven. De uitgebreide functies van de dreiging omvatten de mogelijkheid om sms-berichten te verzenden of te onderscheppen, waardoor de aanvallers effectief tijdelijke codes kunnen verzamelen, zoals eenmalige wachtwoorden (OTP) en die welke worden gebruikt voor twee-factor-authenticatie (2FA) beveiligingsmaatregelen. BRATA kan ook een lading van de tweede trap van zijn C2 halen. De extra malware wordt op het apparaat neergezet als een ZIP-archief dat een 'unrar.jar'-pakket bevat. Eenmaal uitgevoerd, fungeert de payload als een keylogger die door de applicatie gegenereerde gebeurtenissen bewaakt en lokaal logt.
Ten slotte waren de door Cleafy geanalyseerde BRATA-malwareversies extreem gericht. In feite lijken de dreigingsactoren zich te concentreren op één financiële instelling tegelijk. De aanvallers zullen pas naar hun volgende slachtoffer gaan nadat hun inspanningen door het vorige zijn geneutraliseerd door middel van beveiligingsmaatregelen. Dit gedrag geeft de cybercriminelen de kans om de voetafdruk van de BRATA-malware aanzienlijk te verkleinen. De dreiging hoeft immers niet langer toegang te krijgen tot de lijst met applicaties die op het gehackte apparaat zijn geïnstalleerd en vervolgens de bijbehorende injecties van de C2 op te halen. Nu wordt de malware vooraf geladen met slechts één phishing-overlay, waardoor het C2-verkeer en de acties die het op het hostapparaat moet uitvoeren, worden geminimaliseerd.
