BRATA Malware
Ang BRATA banking Trojan ay unang lumitaw noong 2019 sa Brazil. Ang pagbabanta ay naka-target sa mga Andoird device at may kakayahang gumawa ng mga screen capture, mag-install ng mga bagong application, at maging sanhi ng pag-shut down ng nahawaang device sa pamamagitan ng pag-off sa screen. Gayunpaman, mula noon, ang banta ay sumailalim sa mabilis na ebolusyon na may maraming bagong bersyon na ang bawat isa ay nagtataglay ng pinalawak na mga kakayahan sa panghihimasok. Halimbawa, noong 2021 ang banta ay ginamit sa mga kampanya ng pag-atake laban sa mga user sa Europe. Natuklasan ng mga mananaliksik ng Infosec ang BRATA malware na kumakalat sa pamamagitan ng mga pekeng anti-spam na application. Kasama pa sa mga nagbabantang operasyon ang mga pekeng ahente ng suporta na umaakit sa mga user na bigyan sila ng kumpletong kontrol sa kanilang mga device.
Sa simula ng 2022, naging mas sopistikado ang BRATA, sa pamamagitan ng pagdaragdag ng paggamit ng pagsubaybay sa GPS at maraming channel ng komunikasyon upang maabot ang mga server ng Command-and-Control (C2, C&C). Nakatanggap din ang banta ng feature na factory reset, na nagbibigay-daan dito na i-wipe ang mga nalabag na device pagkatapos na ma-exfiltrate ang data sa mga ito. Iniayon din ng mga banta ng aktor ang mga bersyon ng BRATA depende sa bansa ng mga target na user.
Ngayon, ang isang ulat ni Cleafy, isang Italyano na kumpanya ng seguridad sa mobile, ay nagpapakita na ang BRATA ay umunlad, higit pa, na naging isang patuloy na banta na naglalayong manatili sa mga nahawaang device. Kasama sa mga pinalawak na function ng pagbabanta ang kakayahang magpadala o humarang ng mga mensaheng SMS, na epektibong nagbibigay sa mga umaatake ng kakayahang mangolekta ng mga pansamantalang code, tulad ng mga one-time na password (OTP) at ang mga ginagamit sa mga hakbang sa seguridad ng two-factor authentication (2FA). Maaari ding kumuha ang BRATA ng second-stage payload mula sa C2 nito. Ang karagdagang malware ay ibinabagsak sa device bilang isang ZIP archive na naglalaman ng package na 'unrar.jar'. Kapag naisakatuparan, ang payload ay gumaganap bilang isang keylogger na sinusubaybayan ang mga kaganapang binuo ng application at nila-log ang mga ito nang lokal.
Sa wakas, ang mga bersyon ng BRATA malware na sinuri ni Cleafy ay labis na na-target. Sa katunayan, lumilitaw na ang mga aktor ng pagbabanta ay tumutuon sa isang institusyong pinansyal sa isang pagkakataon. Ang mga umaatake ay lilipat sa kanilang susunod na biktima lamang pagkatapos na ang kanilang mga pagsisikap ay ma-neutralize ng nauna sa pamamagitan ng mga hakbang sa seguridad. Ang gawi na ito ay nagbibigay sa mga cybercriminal ng pagkakataon na makabuluhang bawasan ang footprint ng BRATA malware. Pagkatapos ng lahat, hindi na kakailanganin ng banta na i-access ang listahan ng mga application na naka-install sa nalabag na device at pagkatapos ay kunin ang kaukulang mga iniksyon mula sa C2. Ngayon, ang malware ay paunang na-load na may lamang ng isang phishing overlay, pinapaliit ang C2 na trapiko nito at ang mga aksyon na kailangan nitong gawin sa host device.
