BRATA er navnet på en Android-banktrojaner, som sikkerhedsforskere har observeret i et stykke tid. I en ny rapport udarbejdet af cybersikkerhedsfirmaet Cleafy, nye oplysninger om bankmanden er blevet afsløret.
Trusselaktører har brugt trojaneren til at "begå bedrageri via uautoriserede bankoverførsler." Nogle af de nye funktioner, der er tilføjet malwaren, inkluderer at udføre fabriksnulstilling af enheden, GPS sporing, ved hjælp af flere kommunikationskanaler (såsom HTTP og TCP), og løbende at kunne overvåge ofrets bankapp via VNC (Virtual Network Computing) og keylogging.
Hvem er blevet målrettet med den seneste BRATA-variant?
Mållisten indeholder nu yderligere banker og finansielle institutioner i Storbritannien, Polen, Italien, og Latinamerika, rapporten bemærkede. Det skal nævnes, at den første angrebsbølge blev indledt i november 2021, og den anden omkring midten af december samme år. Under anden bølge, hackere begyndte at levere flere nye varianter i forskellige lande. Forskerne så også nogle prøver indeholdende spanske og kinesiske strenge.
Fra nu af, tre varianter af BRATA-trojanen er blevet identificeret:
BRATA.A: Denne variant er blevet brugt mest i løbet af de seneste måneder. I december, hackere tilføjede to nye funktioner til sit sæt af muligheder. Den første funktion er stadig under udvikling, og er relateret til GPS-sporing af offerets enhed. Den anden funktion er at udføre en fabriksnulstilling af den inficerede enhed.
BRATA.B er meget lig den første prøve. Hvad der er anderledes her er den delvise formørkelse af koden og brugen af skræddersyede overlejringssider, der bruges til at stjæle sikkerhedsnummeret (eller PIN-kode) af den målrettede bankapplikation, rapporten bemærkede.
BRATA.C består af en indledende dropper, der downloader og udfører den rigtige ondsindede app senere i angrebet.
Forskere har observeret malwaren i nogen tid nu, og det ser ud til, at dets forfattere konstant ændrer dens ondsindede kode. Dette gøres for at undgå opdagelse af antivirusleverandører.
"Selvom størstedelen af Android-banktrojanske heste forsøger at sløre/kryptere malware-kernen i en ekstern fil (f.eks. .dex eller .jar), BRATA bruger en minimal app til i et andet trin at downloade BRATA-kerneappen (.APK),” Cleafy-holdet tilføjet.
BRATA er også i stand til bankkontoovervågning
Det ser ud til, at bankmanden har sine egne kundemetoder med hensyn til overvågning af bankkonti. Men, den kan også overvåge andre handlinger udført på den inficerede enhed. Malwaren hjælper trusselsaktører med at opnå Accessibility Service-tilladelser, hvilket sker under installationsfaserne. Dette gøres for at observere aktiviteten udført af offeret og/eller bruge VNC-modulet til at få private data vist på enhedens skærm, såsom bankkontosaldo, transaktion historie, etc.
Når hackere sender en bestemt kommando ("get_screen") fra kommando-og-kontrol-serveren, malwaren begynder at tage skærmbilleder af enheden og sende dem tilbage til kommandoserveren via HTTP-kanalen.
Andre bemærkelsesværdige Android-banktrojanske heste inkluderer Cerberus-baseret trussel kaldet ERMAC, den avanceret Ghimob trojan, og ny generation trussel SharkBot.