Zlonamerna programska oprema BRATA

Bančni trojanec BRATA se je prvič pojavil leta 2019 v Braziliji. Grožnja je bila usmerjena na naprave Andoird in je lahko naredila posnetke zaslona, namestila nove aplikacije in povzročila, da se okužena naprava izklopi z izklopom zaslona. Vendar pa se je od takrat grožnja hitro razvijala z več novimi različicami, od katerih je vsaka imela razširjene vsiljive zmogljivosti. Na primer, leta 2021 je bila grožnja uporabljena v napadih na uporabnike v Evropi. Raziskovalci Infosec so odkrili, da se zlonamerna programska oprema BRATA širi prek lažnih aplikacij za preprečevanje neželene pošte. Nevarne operacije so vključevale celo lažne podporne agente, ki so uporabnike zvabili, da so jim zagotovili popoln nadzor nad svojimi napravami.

Na začetku leta 2022 je BRATA postal še bolj izpopolnjen z dodatkom uporabe sledenja GPS in več komunikacijskih kanalov za dosego strežnikov za upravljanje in nadzor (C2, C&C). Grožnja je prejela tudi funkcijo ponastavitve na tovarniške nastavitve, ki ji je omogočila brisanje vlomljenih naprav, potem ko so bili podatki o njih že izločeni. Akterji grožnje so prilagodili tudi različice BRATA glede na državo ciljnih uporabnikov.

Poročilo Cleafyja, italijanskega podjetja za varovanje mobilnih naprav, kaže, da se je BRATA še bolj razvila v trajno grožnjo, katere cilj je ostati na okuženih napravah. Razširjene funkcije grožnje vključujejo možnost pošiljanja ali prestrezanja sporočil SMS, kar napadalcem dejansko daje možnost zbiranja začasnih kod, kot so enkratna gesla (OTP) in tista, ki se uporabljajo pri varnostnih ukrepih za dvofaktorsko preverjanje pristnosti (2FA). BRATA lahko iz svojega C2 pridobi tudi tovor druge stopnje. Dodatna zlonamerna programska oprema se spusti v napravo kot ZIP arhiv, ki vsebuje paket 'unrar.jar'. Ko se izvede, koristna obremenitev deluje kot keylogger, ki spremlja dogodke, ki jih ustvari aplikacija, in jih beleži lokalno.

Končno so bile različice zlonamerne programske opreme BRATA, ki jih je analiziral Cleafy, izjemno ciljno usmerjene. Dejansko se zdi, da se akterji grožnje osredotočajo na eno samo finančno institucijo naenkrat. Napadalci se bodo premaknili k naslednji žrtvi šele, ko bo njihova prizadevanja nevtralizirala prejšnja z varnostnimi protiukrepi. To vedenje daje kibernetičnim kriminalcem možnost, da znatno zmanjšajo odtis zlonamerne programske opreme BRATA. Konec koncev, grožnji ne bo več treba dostopati do seznama aplikacij, nameščenih na poškodovani napravi, in nato pridobiti ustrezne injekcije iz C2. Zdaj je zlonamerna programska oprema vnaprej naložena s samo enim prekrivanjem z lažnim predstavljanjem, kar zmanjša promet C2 in dejanja, ki jih mora izvesti na gostiteljski napravi.