BRATA Malware

Банковский троянец BRATA впервые появился еще в 2019 году в Бразилии. Угроза предназначалась для устройств Andoird и могла делать снимки экрана, устанавливать новые приложения и заставлять зараженное устройство казаться выключенным, выключая экран. Однако с тех пор угроза претерпела быструю эволюцию с появлением нескольких новых версий, каждая из которых обладала расширенными возможностями вторжения. Например, в 2021 году угроза использовалась в кампаниях атак против пользователей в Европе. Исследователи Infosec обнаружили, что вредоносное ПО BRATA распространяется через поддельные приложения для защиты от спама. Угрожающие операции включали даже поддельных агентов поддержки, которые заманивали пользователей, предоставляя им полный контроль над своими устройствами.

В начале 2022 года BRATA стала еще более сложной за счет добавления использования GPS-отслеживания и нескольких каналов связи для доступа к серверам управления и контроля (C2, C&C). Угроза также получила функцию сброса к заводским настройкам, позволяющую стирать взломанные устройства после того, как данные на них уже были удалены. Злоумышленники также адаптировали версии BRATA в зависимости от страны целевых пользователей.

Теперь отчет Cleafy, итальянской компании по обеспечению безопасности мобильных устройств, показывает, что BRATA эволюционировала еще больше, превратившись в постоянную угрозу, которая стремится оставаться на зараженных устройствах. Расширенные функции угрозы включают в себя возможность отправлять или перехватывать SMS-сообщения, эффективно предоставляя злоумышленникам возможность собирать временные коды, такие как одноразовые пароли (OTP) и те, которые используются для мер безопасности двухфакторной аутентификации (2FA). BRATA также может получать полезную нагрузку второй ступени со своего C2. Дополнительное вредоносное ПО загружается на устройство в виде ZIP-архива, содержащего пакет unrar.jar. После выполнения полезная нагрузка действует как кейлоггер, который отслеживает события, генерируемые приложением, и регистрирует их локально.

Наконец, версии вредоносных программ BRATA, проанализированные Cleafy, были чрезвычайно целенаправленными. На самом деле злоумышленники, по-видимому, сосредоточены на одном финансовом учреждении одновременно. Злоумышленники перейдут к своей следующей жертве только после того, как их усилия будут нейтрализованы предыдущей с помощью мер безопасности. Такое поведение дает киберпреступникам возможность значительно уменьшить воздействие вредоносного ПО BRATA. Ведь угрозе больше не нужно будет обращаться к списку приложений, установленных на взломанном устройстве, а затем получать соответствующие инъекции от C2. Теперь вредоносное ПО поставляется с предварительно загруженным только одним фишинговым оверлеем, что сводит к минимуму его трафик C2 и действия, которые ему необходимо выполнять на хост-устройстве.