BRATA ist der Name eines Android-Banking-Trojaners, den Sicherheitsforscher schon länger beobachten. In einem neuen Bericht, der von der Cybersicherheitsfirma Cleafy zusammengestellt wurde, Neue Informationen über den Banker wurden enthüllt.
Bedrohungsakteure haben den Trojaner verwendet, um „Betrug durch nicht autorisierte Überweisungen zu begehen“. Zu den neuen Funktionen, die der Malware hinzugefügt wurden, gehört das Zurücksetzen des Geräts auf die Werkseinstellungen, GPS-Verfolgung, Nutzung mehrerer Kommunikationskanäle (wie HTTP und TCP), und in der Lage zu sein, die Bank-App des Opfers kontinuierlich über VNC zu überwachen (Virtual Network Computing) und Keylogging.
Wer wurde mit der neuesten BRATA-Variante ins Visier genommen??
Die Zielliste enthält nun weitere Banken und Finanzinstitute in Großbritannien, Polen, Italien, und Lateinamerika, Der Bericht stellte fest. Es sollte erwähnt werden, dass die erste Angriffswelle im November gestartet wurde 2021, und die zweite etwa Mitte Dezember desselben Jahres. Während der zweiten Welle, Hacker begannen mit der Auslieferung mehrerer neuer Varianten in verschiedenen Ländern. Die Forscher entdeckten auch einige Proben, die spanische und chinesische Saiten enthielten.
Ab jetzt, Es wurden drei Varianten des BRATA-Trojaners identifiziert:
BRATA.A: Diese Variante wurde in den letzten Monaten am häufigsten verwendet. Im Dezember, Hacker fügten zwei neue Funktionen zu seinen Fähigkeiten hinzu. Das erste Feature befindet sich noch in der Entwicklung, und bezieht sich auf die GPS-Verfolgung des Opfergeräts. Die zweite Funktion ist das Zurücksetzen des infizierten Geräts auf die Werkseinstellungen.
BRATA.B ist dem ersten Muster sehr ähnlich. Was hier anders ist, ist der Teil Verschleierungs des Codes und die Verwendung maßgeschneiderter Overlay-Seiten, die zum Stehlen der Sicherheitsnummer verwendet werden (oder PIN) der angestrebten Bankanwendung, Der Bericht stellte fest.
BRATA.C besteht aus einem anfänglichen Dropper, der später im Angriff die echte bösartige App herunterlädt und ausführt.
Forscher beobachten die Malware schon seit einiger Zeit, und es scheint, dass seine Autoren seinen bösartigen Code ständig ändern. Dies geschieht, um eine Erkennung durch Antivirenanbieter zu vermeiden.
„Obwohl die Mehrheit der Android-Banking-Trojaner versucht, den Malware-Kern in einer externen Datei zu verschleiern/zu verschlüsseln (z.B. .dex oder .jar), BRATA verwendet eine minimale App, um in einem zweiten Schritt die zentrale BRATA-App herunterzuladen (.apk),” das Cleafy-Team hinzugefügt.
BRATA ist auch in der Lage, Bankkonten zu überwachen
Es scheint, dass der Bankier seine eigenen Kundenmethoden in Bezug auf die Überwachung von Bankkonten hat. Jedoch, Es kann auch andere Aktionen überwachen, die auf dem infizierten Gerät ausgeführt werden. Die Malware hilft Angreifern dabei, Berechtigungen für den Accessibility Service zu erhalten, was während der Installationsphasen geschieht. Dies geschieht, um die vom Opfer ausgeführten Aktivitäten zu beobachten und/oder das VNC-Modul zu verwenden, um private Daten zu erhalten, die auf dem Bildschirm des Geräts angezeigt werden, wie Bankkontostand, Verlauf der Transaktionen, etc.
Sobald Hacker einen bestimmten Befehl senden („get_screen“) vom Command-and-Control-Server, Die Malware beginnt, Screenshots des Geräts zu machen und sie über den HTTP-Kanal an den Befehlsserver zurückzusenden.
Andere bemerkenswerte Android-Banking-Trojaner sind die Cerberus-basierte Bedrohung namens ERMAC, die fortschrittlicher Ghimob-Trojaner, und die Bedrohung der neuen Generation SharkBot.