BRATA skadlig programvara

BRATA-banktrojanen dök upp först 2019 i Brasilien. Hotet riktade sig mot Andoird-enheter och kunde göra skärmdumpar, installera nya applikationer och få den infekterade enheten att se avstängd genom att stänga av skärmen. Men sedan dess har hotet genomgått en snabb utveckling med flera nya versioner som var och en hade utökade påträngande möjligheter. Till exempel 2021 användes hotet i attackkampanjer mot användare i Europa. Infosec-forskare upptäckte att BRATA-skadlig programvara spreds via falska anti-spam-applikationer. De hotfulla operationerna inkluderade till och med falska supportagenter som lockade användare att ge dem fullständig kontroll över sina enheter.

I början av 2022 blev BRATA ännu mer sofistikerad, genom tillägget av att använda GPS-spårning och flera kommunikationskanaler för att nå Command-and-Control-servrarna (C2, C&C). Hotet fick också en fabriksåterställningsfunktion, som gjorde det möjligt för den att radera de brutna enheterna efter att data på dem redan hade exfiltrerats. Hotaktörerna skräddarsydde också BRATA-versionerna beroende på vilket land de riktade användarna har.

Nu visar en rapport från Cleafy, ett italienskt mobilsäkerhetsföretag, att BRATA har utvecklats, ännu mer, förvandlats till ett ihållande hot som syftar till att stanna kvar på de infekterade enheterna. Hotets utökade funktioner inkluderar möjligheten att skicka eller avlyssna SMS-meddelanden, vilket effektivt ger angriparna möjligheten att samla in tillfälliga koder, såsom engångslösenord (OTP) och de som används för säkerhetsåtgärder för tvåfaktorsautentisering (2FA). BRATA kan också hämta en nyttolast i andra steg från sin C2. Den ytterligare skadliga programvaran släpps på enheten som ett ZIP-arkiv som innehåller ett 'unrar.jar'-paket. När den väl har körts fungerar nyttolasten som en keylogger som övervakar programgenererade händelser och loggar dem lokalt.

Slutligen var BRATA malware-versionerna som analyserades av Cleafy extremt målinriktade. Faktum är att hotaktörerna tycks fokusera på en enda finansiell institution åt gången. Angriparna kommer att flytta till sitt nästa offer först efter att deras ansträngningar har neutraliserats av det föregående via säkerhetsmotåtgärder. Detta beteende ger cyberbrottslingarna chansen att avsevärt minska fotavtrycket för BRATA-skadlig programvara. När allt kommer omkring kommer hotet inte längre att behöva komma åt listan över applikationer installerade på den brutna enheten och sedan hämta motsvarande injektioner från C2. Nu kommer skadlig programvara förinstallerad med bara ett nätfiskeöverlägg, vilket minimerar dess C2-trafik och de åtgärder den behöver utföra på värdenheten.