Шкідливе програмне забезпечення BRATA

Банківський троян BRATA вперше з’явився у 2019 році в Бразилії. Загроза була спрямована на пристрої Andoird і була здатна робити знімки екрана, встановлювати нові програми та викликати відключення зараженого пристрою, вимикаючи екран. Однак з тих пір загроза зазнала швидкої еволюції з кількома новими версіями, кожна з яких мала розширені навтязливі можливості. Наприклад, у 2021 році загроза використовувалася в кампаніях атак на користувачів у Європі. Дослідники Infosec виявили, що зловмисне програмне забезпечення BRATA поширюється через підроблені антиспамові програми. Загрозливі операції включали навіть фальшивих агентів підтримки, які спонукали користувачів надати їм повний контроль над своїми пристроями.

На початку 2022 року BRATA став ще більш досконалим завдяки доданню використання відстеження GPS і кількох каналів зв’язку для доступу до серверів командно-контрольного (C2, C&C). Загроза також отримала функцію скидання до заводських налаштувань, що дозволило їй стерти зламані пристрої після того, як дані на них вже були вилучені. Загрози також адаптували версії BRATA залежно від країни цільових користувачів.

Тепер звіт Cleafy, італійської компанії безпеки мобільних пристроїв, показує, що BRATA розвинувся, навіть більше, перетворившись на постійну загрозу, яка має на меті залишатися на заражених пристроях. Розширені функції загрози включають можливість надсилати або перехоплювати SMS-повідомлення, фактично надаючи зловмисникам можливість збирати тимчасові коди, такі як одноразові паролі (OTP) і ті, що використовуються для заходів безпеки двофакторної аутентифікації (2FA). BRATA також може отримати корисне навантаження другого ступеня зі свого C2. Додаткове шкідливе програмне забезпечення передається на пристрій у вигляді ZIP-архіву, що містить пакет «unrar.jar». Після виконання корисне навантаження діє як кейлоггер, який відстежує події, створені програмою, і реєструє їх локально.

Нарешті, версії шкідливих програм BRATA, проаналізовані Cleafy, були надзвичайно цільовими. Фактично, суб’єкти загрози, схоже, зосереджуються на одній фінансовій установі одночасно. Зловмисники переходять до наступної жертви лише після того, як їх зусилля нейтралізуються попередньою за допомогою заходів безпеки. Така поведінка дає кіберзлочинцям можливість значно зменшити кількість шкідливих програм BRATA. Зрештою, загрозі більше не потрібно буде отримати доступ до списку програм, встановлених на зламаному пристрої, а потім отримати відповідні ін’єкції з C2. Тепер зловмисне програмне забезпечення поставляється із попередньо завантаженим лише одним фішинговим накладенням, що мінімізує його трафік C2 і дії, які йому потрібно виконати на хост-пристрої.