BRATA 惡意軟件

BRATA 銀行木馬於 2019 年首次出現在巴西。該威脅以 Andoird 設備為目標，能夠進行屏幕截圖、安裝新應用程序，並通過關閉屏幕使受感染的設備顯示為已關閉。然而，從那時起，威脅經歷了快速演變，出現了多個新版本，每個版本都具有擴展的入侵能力。例如，2021 年，該威脅被用於針對歐洲用戶的攻擊活動。 Infosec 研究人員發現 BRATA 惡意軟件通過虛假的反垃圾郵件應用程序傳播。威脅行動甚至包括虛假的支持代理，這些代理會誘使用戶為他們提供對其設備的完全控制權。

在 2022 年初，BRATA 變得更加複雜，增加了使用 GPS 跟踪和多個通信渠道來到達指揮和控制（C2、C&C）服務器。該威脅還獲得了出廠重置功能，允許它在設備上的數據已經被洩露後擦除被破壞的設備。威脅參與者還根據目標用戶所在的國家/地區定制了 BRATA 版本。

現在，意大利移動安全公司 Cleafy 的一份報告顯示，BRATA 已經演變成一種持續威脅，旨在持續存在於受感染的設備上。該威脅的擴展功能包括發送或攔截 SMS 消息的能力，有效地使攻擊者能夠收集臨時密碼，例如一次性密碼 (OTP) 和用於雙重身份驗證 (2FA) 安全措施的密碼。 BRATA 還可以從其 C2 獲取第二階段的有效載荷。額外的惡意軟件以包含“unrar.jar”包的 ZIP 存檔文件的形式放置在設備上。執行後，有效負載充當鍵盤記錄器，監視應用程序生成的事件並在本地記錄它們。

最後，Cleafy 分析的 BRATA 惡意軟件版本極具針對性。事實上，威脅參與者似乎一次只針對一家金融機構。只有在他們的努力通過安全對策被前一個受害者抵消後，攻擊者才會轉移到他們的下一個受害者。這種行為使網絡犯罪分子有機會顯著減少 BRATA 惡意軟件的足跡。畢竟，威脅將不再需要訪問被破壞設備上安裝的應用程序列表，然後從 C2 獲取相應的注入。現在，該惡意軟件僅預裝了一個網絡釣魚覆蓋，從而最大限度地減少了其 C2 流量以及它需要在主機設備上執行的操作。