BRATA malvér

Bankový trójsky kôň BRATA sa prvýkrát objavil v roku 2019 v Brazílii. Hrozba sa zamerala na zariadenia Andoird a bola schopná vytvárať snímky obrazovky, inštalovať nové aplikácie a spôsobiť, že sa infikované zariadenie zdalo vypnuté vypnutím obrazovky. Odvtedy však hrozba prešla rýchlym vývojom s viacerými novými verziami, z ktorých každá mala rozšírené možnosti rušenia. Napríklad v roku 2021 bola hrozba použitá v útočných kampaniach proti používateľom v Európe. Výskumníci z Infosec zistili, že malvér BRATA sa šíri prostredníctvom falošných antispamových aplikácií. Hrozivé operácie dokonca zahŕňali falošných podporných agentov, ktorí lákali používateľov, aby im poskytli úplnú kontrolu nad ich zariadeniami.

Začiatkom roka 2022 sa BRATA stala ešte sofistikovanejšou, a to pridaním sledovania GPS a viacerých komunikačných kanálov na dosiahnutie serverov Command-and-Control (C2, C&C). Hrozba tiež získala funkciu obnovenia továrenských nastavení, ktorá jej umožňuje vymazať narušené zariadenia po tom, čo už boli údaje na nich exfiltrované. Aktéri hrozby tiež prispôsobili verzie BRATA v závislosti od krajiny cieľových používateľov.

Správa od Cleafy, talianskej mobilnej bezpečnostnej spoločnosti, teraz ukazuje, že BRATA sa vyvinula ešte viac a premenila sa na pretrvávajúcu hrozbu, ktorej cieľom je držať sa na infikovaných zariadeniach. Rozšírené funkcie hrozby zahŕňajú možnosť odosielať alebo zachytávať SMS správy, čo útočníkom efektívne dáva možnosť zbierať dočasné kódy, ako sú jednorazové heslá (OTP) a tie, ktoré sa používajú pri bezpečnostných opatreniach s dvojfaktorovou autentifikáciou (2FA). BRATA tiež dokáže zo svojho C2 získať užitočné zaťaženie druhej fázy. Dodatočný malvér sa do zariadenia uloží ako archív ZIP, ktorý obsahuje balík „unrar.jar“. Po spustení funguje užitočné zaťaženie ako keylogger, ktorý monitoruje udalosti generované aplikáciou a lokálne ich zaznamenáva.

Nakoniec, verzie malvéru BRATA analyzované spoločnosťou Cleafy boli mimoriadne cielené. V skutočnosti sa zdá, že aktéri hrozieb sa sústreďujú súčasne na jednu finančnú inštitúciu. Útočníci sa presunú k ďalšej obeti až potom, čo ich úsilie zneškodní predchádzajúca prostredníctvom bezpečnostných protiopatrení. Toto správanie dáva počítačovým zločincom šancu výrazne znížiť stopu malvéru BRATA. Koniec koncov, hrozba už nebude musieť pristupovať k zoznamu aplikácií nainštalovaných na napadnutom zariadení a následne získavať zodpovedajúce injekcie z C2. Teraz je malvér predinštalovaný iba s jedným prekrytím proti neoprávnenému získavaniu údajov, čím sa minimalizuje jeho prevádzka C2 a akcie, ktoré potrebuje vykonať na hostiteľskom zariadení.