Złośliwe oprogramowanie BRATA

Trojan bankowy BRATA pojawił się po raz pierwszy w 2019 roku w Brazylii. Zagrożenie atakowało urządzenia Andoird i było zdolne do robienia zrzutów ekranu, instalowania nowych aplikacji i powodowania, że zainfekowane urządzenie wyglądało na zamknięte przez wyłączenie ekranu. Jednak od tego czasu zagrożenie przeszło szybką ewolucję z wieloma nowymi wersjami, z których każda posiadała rozszerzone możliwości inwazyjne. Na przykład w 2021 r. zagrożenie zostało wykorzystane w kampaniach ataków na użytkowników w Europie. Badacze Infosec odkryli, że złośliwe oprogramowanie BRATA rozprzestrzenia się za pośrednictwem fałszywych aplikacji antyspamowych. Zagrażające operacje obejmowały nawet fałszywych agentów wsparcia, którzy skłaniali użytkowników do zapewnienia im pełnej kontroli nad swoimi urządzeniami.

Na początku 2022 r. BRATA stała się jeszcze bardziej wyrafinowana, dzięki dodaniu śledzenia GPS i wielu kanałów komunikacji w celu dotarcia do serwerów Command-and-Control (C2, C&C). Zagrożenie otrzymało również funkcję przywracania ustawień fabrycznych, umożliwiającą wyczyszczenie zainfekowanych urządzeń po tym, jak dane na nich zostały już wykradzione. Podmioty zajmujące się zagrożeniami dostosowały również wersje BRATA w zależności od kraju docelowych użytkowników.

Teraz raport Cleafy, włoskiej firmy zajmującej się bezpieczeństwem mobilnym, pokazuje, że BRATA ewoluowała, jeszcze bardziej, przekształcając się w trwałe zagrożenie, które ma na celu pozostanie na zainfekowanych urządzeniach. Rozszerzone funkcje zagrożenia obejmują możliwość wysyłania lub przechwytywania wiadomości SMS, skutecznie dając atakującym możliwość zbierania tymczasowych kodów, takich jak hasła jednorazowe (OTP) oraz te używane w zabezpieczeniach uwierzytelniania dwuskładnikowego (2FA). BRATA może również pobrać ładunek drugiego stopnia ze swojego C2. Dodatkowe złośliwe oprogramowanie jest umieszczane na urządzeniu jako archiwum ZIP zawierające pakiet „unrar.jar”. Po uruchomieniu ładunek działa jak keylogger, który monitoruje zdarzenia generowane przez aplikację i rejestruje je lokalnie.

Wreszcie, wersje złośliwego oprogramowania BRATA analizowane przez Cleafy były ekstremalnie ukierunkowane. Wydaje się, że cyberprzestępcy skupiają się na jednej instytucji finansowej na raz. Atakujący przeniosą się na następną ofiarę dopiero wtedy, gdy ich wysiłki zostaną zneutralizowane przez poprzednią za pomocą środków zaradczych. Takie zachowanie daje cyberprzestępcom szansę na znaczne zmniejszenie śladu szkodliwego oprogramowania BRATA. W końcu zagrożenie nie będzie już musiało uzyskiwać dostępu do listy aplikacji zainstalowanych na złamanym urządzeniu, a następnie pobierać odpowiednich wstrzyknięć z C2. Teraz złośliwe oprogramowanie ma fabrycznie załadowaną tylko jedną nakładkę phishingową, minimalizując ruch C2 i działania, które musi wykonać na urządzeniu hosta.