Phần mềm độc hại BRATA
Trojan ngân hàng BRATA xuất hiện lần đầu tiên vào năm 2019 tại Brazil. Mối đe dọa nhắm mục tiêu vào các thiết bị Andoird và có khả năng chụp ảnh màn hình, cài đặt ứng dụng mới và khiến thiết bị bị nhiễm virus có vẻ như tắt bằng cách tắt màn hình. Tuy nhiên, kể từ đó, mối đe dọa đã trải qua quá trình phát triển nhanh chóng với nhiều phiên bản mới mà mỗi phiên bản đều sở hữu khả năng xâm nhập được mở rộng. Ví dụ: vào năm 2021, mối đe dọa đã được sử dụng trong các chiến dịch tấn công chống lại người dùng ở Châu Âu. Các nhà nghiên cứu của Infosec đã phát hiện ra phần mềm độc hại BRATA đang được phát tán qua các ứng dụng chống thư rác giả mạo. Các hoạt động đe dọa thậm chí còn bao gồm các tác nhân hỗ trợ giả mạo để thu hút người dùng cung cấp cho họ toàn quyền kiểm soát thiết bị của họ.
Vào đầu năm 2022, BRATA thậm chí còn trở nên phức tạp hơn, thông qua việc bổ sung sử dụng theo dõi GPS và nhiều kênh liên lạc để tiếp cận các máy chủ Command-and-Control (C2, C&C). Mối đe dọa cũng nhận được tính năng khôi phục cài đặt gốc, cho phép nó xóa sạch các thiết bị bị vi phạm sau khi dữ liệu trên chúng đã được lấy sạch. Các tác nhân đe dọa cũng điều chỉnh các phiên bản BRATA tùy thuộc vào quốc gia của người dùng mục tiêu.
Giờ đây, một báo cáo của Cleafy, một công ty bảo mật di động của Ý, cho thấy rằng BRATA đã phát triển, thậm chí hơn thế nữa, biến thành một mối đe dọa dai dẳng nhằm bám quanh các thiết bị bị nhiễm. Các chức năng mở rộng của mối đe dọa bao gồm khả năng gửi hoặc chặn tin nhắn SMS, mang lại hiệu quả cho những kẻ tấn công khả năng thu thập các mã tạm thời, chẳng hạn như mật khẩu dùng một lần (OTP) và những mật khẩu được sử dụng trên các biện pháp bảo mật xác thực hai yếu tố (2FA). BRATA cũng có thể tìm nạp tải trọng giai đoạn hai từ C2 của nó. Phần mềm độc hại bổ sung được xóa trên thiết bị dưới dạng tệp nén ZIP có chứa gói 'unrar.jar'. Sau khi được thực thi, payload hoạt động như một keylogger giám sát các sự kiện do ứng dụng tạo và ghi lại chúng cục bộ.
Cuối cùng, các phiên bản phần mềm độc hại BRATA được phân tích bởi Cleafy đã được nhắm mục tiêu cực kỳ nghiêm trọng. Trên thực tế, các tác nhân đe dọa dường như đang tập trung vào một tổ chức tài chính duy nhất tại một thời điểm. Những kẻ tấn công sẽ chuyển đến nạn nhân tiếp theo của chúng chỉ sau khi nỗ lực của chúng bị vô hiệu hóa bởi nạn nhân trước đó thông qua các biện pháp đối phó an ninh. Hành vi này mang lại cho tội phạm mạng cơ hội giảm đáng kể dấu vết của phần mềm độc hại BRATA. Rốt cuộc, mối đe dọa sẽ không cần truy cập vào danh sách các ứng dụng được cài đặt trên thiết bị bị vi phạm và sau đó tìm nạp các lần tiêm tương ứng từ C2. Giờ đây, phần mềm độc hại được tải sẵn chỉ với một lớp phủ lừa đảo, giảm thiểu lưu lượng C2 của nó và các hành động mà nó cần thực hiện trên thiết bị chủ.
