BRATA malver koji briše Android evoluira u stalnu pretnju
Akter pretnji koji stoji iza BRATA bankarskog trojanca je razvio svoju taktiku i poboljšao malver sa mogućnostima krađe informacija.
BRATA nastavlja da se razvija sa kadencom od oko dva meseca
Italijanska kompanija za mobilnu bezbednost Cleafy prati aktivnost BRATA i primetila je u najnovijim kampanjama promene koje dovode do dužeg zadržavanja na uređaju. „Modus operandi se sada uklapa u obrazac aktivnosti napredne trajne pretnje (APT – Advanced Persistent Threat),“ objašnjava Cleafy u izveštaju ove nedelje. „Ovaj termin se koristi da opiše kampanju napada u kojoj kriminalci uspostavljaju dugoročno prisustvo na ciljanoj mreži da bi ukrali osetljive informacije. Sam malver je takođe ažuriran novim tehnikama phishing-a, novim klasama za traženje dodatnih dozvola na uređaju, a sada takođe ispušta payload druge faze sa servera za komandu i kontrolu (C2).
BRATA malver je takođe više precizan, pošto su istraživači otkrili da se fokusira na jednu po jednu finansijsku instituciju i da se okreće ka drugoj samo kada njihovi napadi postanu neefikasni zbog protivmera. Na primer, BRATA sada dolazi sa unapred učitanim jednim overlay-em za phishing umesto da dobije listu instaliranih aplikacija i preuzme prave injekcije sa C2. Ovo minimizira zlonamerni mrežni saobraćaj i interakcije sa glavnim uređajem. U novijoj verziji, BRATA dodaje više dozvola koje mu omogućavaju da šalje i prima SMS, što može pomoći napadačima da ukradu privremene kodove kao što su jednokratne lozinke (OTP) i dvofaktorska autentifikacija (2FA) koje banke šalju svojim klijentima.
Nakon što se ugnezdi u uređaj, BRATA preuzima ZIP arhivu sa C2 servera koja sadrži JAR („unrar.jar“) paket. Ovaj uslužni program za keylogging nadgleda događaje generisane aplikacijom i skladišti ih lokalno na uređaju sa tekstualnim podacima i odgovarajućom vremenskom oznakom. Cleafy-jevi analitičari su uočili znake da je ovaj alat još uvek u ranom razvoju i istraživači smatraju da je krajnji cilj autora da zloupotrebi uslugu pristupačnosti za dobijanje podataka iz drugih aplikacija. BRATA je počeo kao bankarski trojanac u Brazilu 2019. godine, sposoban da vrši snimanje ekrana, instalira nove aplikacije i isključuje ekran kako bi uređaj delovao isključen. U junu 2021. godine, BRATA se prvi put pojavila u Evropi, koristeći lažne aplikacije protiv neželjene pošte kao mamac i angažujući lažne agente podrške koji su prevarili žrtve i naveli ih da im daju potpunu kontrolu nad svojim uređajima.
U januaru 2022. nova verzija BRATA-e se pojavila u divljini, koristeći GPS praćenje, višestruke C2 komunikacione kanale i prilagođene verzije za klijente bankarstva u različitim zemljama. Ta verzija je takođe sadržala komandu za resetovanje na fabrička podešavanja koja je obrisala uređaje nakon što su svi podaci ukradeni. Sada, pored nove BRATA verzije i promene taktike, Cleafy je takođe pronašao novi projekat: aplikaciju za krađu SMS poruka koja komunicira sa istom C2 infrastrukturom. Koristi isti okvir kao BRATA i ista imena klasa, ali izgleda da je fokusiran samo na izvlačenje kratkih tekstualnih poruka. Trenutno cilja na Veliku Britaniju, Italiju i Španiju. Da bi presrela dolazne SMS-ove, aplikacija traži od korisnika da je postavi kao podrazumevanu aplikaciju za razmenu poruka, istovremeno zahtevajući dozvolu za pristup kontaktima na uređaju. Za sada je nejasno da li je ovo samo eksperiment napora BRATA tima da kreira jednostavnije aplikacije posvećene određenim ulogama. Ono što je jasno je da BRATA nastavlja da se razvija sa kadencom od oko dva meseca. Neophodno je da ostanete na oprezu, da održavate svoj uređaj ažurnim i izbegavate instaliranje aplikacija iz nezvaničnih ili sumnjivih izvora.
Izvor: Bleepingcomputer