BRATA Malware

O Trojan bancário BRATA apareceu pela primeira vez em 2019 no Brasil. A ameaça tinha como alvo dispositivos Andoird e era capaz de fazer capturas de tela, instalar novos aplicativos e fazer com que o dispositivo infectado parecesse desligado desligando a tela. No entanto, desde então, a ameaça passou por uma rápida evolução com várias novas versões, cada uma com recursos intrusivos expandidos. Por exemplo, em 2021 a ameaça foi usada em campanhas de ataque contra usuários na Europa. Os pesquisadores da Infosec descobriram que o malware BRATA estava sendo espalhado por meio de aplicativos anti-spam falsos. As operações ameaçadoras incluíam até agentes de suporte falsos que atraíam os usuários para fornecer controle total sobre seus dispositivos.

No início de 2022, o BRATA ficou ainda mais sofisticado, com a adição de rastreamento por GPS e múltiplos canais de comunicação para chegar aos servidores de Comando e Controle (C2, C&C). A ameaça também recebeu um recurso de redefinição de fábrica, permitindo limpar os dispositivos violados após os dados neles já terem sido exfiltrados. Os agentes de ameaças também adaptaram as versões BRATA dependendo do país dos usuários visados.

Agora, um relatório da Cleafy, uma empresa italiana de segurança móvel, mostra que o BRATA evoluiu ainda mais, transformando-se em uma ameaça persistente que visa permanecer nos dispositivos infectados. As funções expandidas da ameaça incluem a capacidade de enviar ou interceptar mensagens SMS, dando efetivamente aos invasores a capacidade de coletar códigos temporários, como senhas de uso único (OTP) e aquelas usadas em medidas de segurança de autenticação de dois fatores (2FA). BARTA também pode buscar uma carga útil de segundo estágio de seu C2. O malware adicional é descartado no dispositivo como um arquivo ZIP contendo um pacote 'unrar.jar'. Uma vez executada, a carga útil atua como um keylogger que monitora os eventos gerados pelo aplicativo e os registra localmente.

Por fim, as versões de malware BRATA analisadas por Cleafy foram extremamente direcionadas. Na verdade, os agentes de ameaças parecem estar se concentrando em uma única instituição financeira por vez. Os invasores passarão para a próxima vítima somente depois que seus esforços forem neutralizados pela anterior por meio de contramedidas de segurança. Esse comportamento dá aos cibercriminosos a chance de reduzir significativamente a pegada do malware BRATA. Afinal, a ameaça não precisará mais acessar a lista de aplicativos instalados no dispositivo violado e buscar as injeções correspondentes do C2. Agora, o malware vem pré-carregado com apenas uma sobreposição de phishing, minimizando seu tráfego C2 e as ações que ele precisa realizar no dispositivo host.