BRATA 恶意软件

BRATA 银行木马于 2019 年首次出现在巴西。该威胁以 Andoird 设备为目标，能够进行屏幕截图、安装新应用程序，并通过关闭屏幕使受感染的设备显示为已关闭。然而，从那时起，威胁经历了快速演变，出现了多个新版本，每个版本都具有扩展的入侵能力。例如，2021 年，该威胁被用于针对欧洲用户的攻击活动。 Infosec 研究人员发现 BRATA 恶意软件通过虚假的反垃圾邮件应用程序传播。威胁行动甚至包括虚假的支持代理，这些代理会诱使用户为他们提供对其设备的完全控制权。

在 2022 年初，BRATA 变得更加复杂，增加了使用 GPS 跟踪和多个通信渠道来到达指挥和控制（C2、C&C）服务器。该威胁还获得了出厂重置功能，允许它在设备上的数据已经被泄露后擦除被破坏的设备。威胁参与者还根据目标用户所在的国家/地区定制了 BRATA 版本。

现在，意大利移动安全公司 Cleafy 的一份报告显示，BRATA 已经演变成一种持续威胁，旨在持续存在于受感染的设备上。该威胁的扩展功能包括发送或拦截 SMS 消息的能力，有效地使攻击者能够收集临时密码，例如一次性密码 (OTP) 和用于双重身份验证 (2FA) 安全措施的密码。 BRATA 还可以从其 C2 获取第二阶段的有效载荷。附加的恶意软件以包含“unrar.jar”包的 ZIP 存档文件的形式放置在设备上。执行后，有效负载充当键盘记录器，监视应用程序生成的事件并在本地记录它们。

最后，Cleafy 分析的 BRATA 恶意软件版本极具针对性。事实上，威胁参与者似乎一次只关注一家金融机构。只有在他们的努力通过安全对策被前一个受害者抵消后，攻击者才会转移到他们的下一个受害者。这种行为使网络犯罪分子有机会显着减少 BRATA 恶意软件的足迹。毕竟，威胁将不再需要访问被破坏设备上安装的应用程序列表，然后从 C2 获取相应的注入。现在，该恶意软件仅预装了一个网络钓鱼覆盖，从而最大限度地减少了其 C2 流量以及它需要在主机设备上执行的操作。