Threat Database Malware Malware BRATA

Malware BRATA

Troianul bancar BRATA a apărut pentru prima dată în 2019 în Brazilia. Amenințarea a vizat dispozitivele Andoird și a fost capabilă să facă capturi de ecran, să instaleze aplicații noi și să facă ca dispozitivul infectat să pară oprit prin oprirea ecranului. Cu toate acestea, de atunci, amenințarea a suferit o evoluție rapidă cu mai multe versiuni noi, fiecare având capacități intruzive extinse. De exemplu, în 2021 amenințarea a fost folosită în campanii de atac împotriva utilizatorilor din Europa. Cercetătorii Infosec au descoperit malware-ul BRATA răspândit prin intermediul unor aplicații anti-spam false. Operațiunile amenințătoare au inclus chiar agenți de asistență falși care i-au atras pe utilizatori să le ofere control complet asupra dispozitivelor lor.

La începutul anului 2022, BRATA a devenit și mai sofisticată, prin adăugarea utilizării urmăririi GPS și a mai multor canale de comunicare pentru a ajunge la serverele Command-and-Control (C2, C&C). Amenințarea a primit și o funcție de resetare din fabrică, permițându-i să ștergă dispozitivele încălcate după ce datele de pe acestea au fost deja exfiltrate. Actorii amenințărilor au adaptat și versiunile BRATA în funcție de țara utilizatorilor vizați.

Acum, un raport al Cleafy, o companie italiană de securitate mobilă, arată că BRATA a evoluat, chiar mai mult, transformându-se într-o amenințare persistentă care își propune să rămână pe dispozitivele infectate. Funcțiile extinse ale amenințării includ capacitatea de a trimite sau intercepta mesaje SMS, oferind efectiv atacatorilor posibilitatea de a colecta coduri temporare, cum ar fi parolele unice (OTP) și cele utilizate pentru măsurile de securitate de autentificare cu doi factori (2FA). BRATA poate prelua și o încărcătură utilă din a doua etapă de la C2. Programul malware suplimentar este aruncat pe dispozitiv ca o arhivă ZIP care conține un pachet „unrar.jar”. Odată executată, sarcina utilă acționează ca un keylogger care monitorizează evenimentele generate de aplicație și le înregistrează local.

În cele din urmă, versiunile de malware BRATA analizate de Cleafy au fost extrem de vizate. De fapt, actorii amenințărilor par să se concentreze pe o singură instituție financiară la un moment dat. Atacatorii se vor muta la următoarea lor victimă numai după ce eforturile lor sunt neutralizate de cea anterioară prin contramăsuri de securitate. Acest comportament oferă infractorilor cibernetici șansa de a reduce semnificativ amprenta malware-ului BRATA. La urma urmei, amenințarea nu va mai avea nevoie să acceseze lista de aplicații instalate pe dispozitivul încălcat și apoi să preia injecțiile corespunzătoare de la C2. Acum, malware-ul vine preîncărcat cu o singură suprapunere de tip phishing, minimizând traficul C2 și acțiunile pe care trebuie să le efectueze pe dispozitivul gazdă.

Trending

Cele mai văzute

Se încarcă...