BRATA Kötü Amaçlı Yazılım

BRATA bankacılık Truva Atı ilk olarak 2019'da Brezilya'da ortaya çıktı. Tehdit Andoird cihazlarını hedef aldı ve ekran görüntüsü alma, yeni uygulamalar yükleme ve ekranı kapatarak virüslü cihazın kapalı görünmesine neden olma yeteneğine sahipti. Bununla birlikte, o zamandan beri, tehdit, her biri genişletilmiş müdahaleci yeteneklere sahip birden fazla yeni sürümle hızlı bir evrim geçirdi. Örneğin, 2021'de tehdit, Avrupa'daki kullanıcılara yönelik saldırı kampanyalarında kullanıldı. Infosec araştırmacıları, BRATA kötü amaçlı yazılımının sahte istenmeyen posta önleme uygulamaları aracılığıyla yayıldığını keşfetti. Tehdit edici operasyonlar, kullanıcıları cihazları üzerinde tam kontrol sağlamaya çeken sahte destek ajanlarını bile içeriyordu.

2022'nin başında BRATA, Komuta ve Kontrol (C2, C&C) sunucularına ulaşmak için GPS izleme ve çoklu iletişim kanallarının eklenmesiyle daha da karmaşık hale geldi. Tehdit aynı zamanda bir fabrika ayarlarına sıfırlama özelliği de aldı ve bu, ihlal edilen cihazları üzerlerindeki veriler zaten sızdırıldıktan sonra silmesine izin verdi. Tehdit aktörleri, hedeflenen kullanıcıların ülkesine bağlı olarak BRATA sürümlerini de uyarladı.

Şimdi, bir İtalyan mobil güvenlik şirketi olan Cleafy tarafından hazırlanan bir rapor, BRATA'nın evrimleştiğini, daha da fazlasını, virüslü cihazlarda kalmayı amaçlayan kalıcı bir tehdide dönüştüğünü gösteriyor. Tehdidin genişletilmiş işlevleri arasında, SMS mesajları gönderme veya engelleme, saldırganlara tek seferlik parolalar (OTP) ve iki faktörlü kimlik doğrulama (2FA) güvenlik önlemlerinde kullanılanlar gibi geçici kodlar toplama becerisini etkin bir şekilde verme yeteneği yer alır. BRATA ayrıca C2'sinden ikinci aşama yük alabilir. Ek kötü amaçlı yazılım, bir 'unrar.jar' paketi içeren bir ZIP arşivi olarak cihaza bırakılır. Yük yürütüldüğünde, uygulama tarafından oluşturulan olayları izleyen ve bunları yerel olarak günlüğe kaydeden bir keylogger görevi görür.

Son olarak, Cleafy tarafından analiz edilen BRATA kötü amaçlı yazılım sürümleri aşırı derecede hedef alındı. Aslında, tehdit aktörleri aynı anda tek bir finansal kuruma odaklanıyor gibi görünüyor. Saldırganlar, ancak çabaları güvenlik önlemleri yoluyla bir önceki kurban tarafından etkisiz hale getirildikten sonra bir sonraki kurbanına geçecek. Bu davranış, siber suçlulara BRATA kötü amaçlı yazılımının ayak izini önemli ölçüde azaltma şansı verir. Sonuçta, tehdidin artık ihlal edilen cihazda kurulu uygulamaların listesine erişmesi ve ardından ilgili enjeksiyonları C2'den alması gerekmeyecek. Artık kötü amaçlı yazılım, yalnızca bir kimlik avı katmanıyla önceden yüklenmiş olarak gelir ve C2 trafiğini ve ana cihazda gerçekleştirmesi gereken eylemleri en aza indirir.