BRATA est le nom d'un cheval de Troie bancaire Android que les chercheurs en sécurité observent depuis un moment. Dans un nouveau rapport compilé par la société de cybersécurité Cleafy, de nouvelles informations sur le banquier ont été révélées.
Les acteurs de la menace utilisent le cheval de Troie pour "perpétrer une fraude via des virements électroniques non autorisés". Certaines des nouvelles fonctionnalités ajoutées au logiciel malveillant incluent la réinitialisation d'usine de l'appareil, Suivi GPS, en utilisant plusieurs canaux de communication (tels que HTTP et TCP), et pouvoir surveiller en permanence l'application bancaire de la victime via VNC (Virtual Network Computing) et enregistrement de frappe.
Qui a été ciblé avec la dernière variante de BRATA?
La liste cible contient désormais d'autres banques et institutions financières au Royaume-Uni, Pologne, Italie, et Amérique Latine, le rapport note. Il convient de mentionner que la première vague d'attaque a été lancée en novembre 2021, et le second vers la mi-décembre de la même année. Lors de la deuxième vague, les pirates ont commencé à livrer plusieurs nouvelles variantes dans divers pays. Les chercheurs ont également repéré des échantillons contenant des cordes espagnoles et chinoises.
A partir de maintenant, trois variantes du cheval de Troie BRATA ont été identifiées:
BRATA.A: Cette variante a été la plus utilisée au cours des derniers mois. En décembre, les pirates ont ajouté deux nouvelles fonctionnalités à son ensemble de capacités. La première fonctionnalité est encore en développement, et est lié au suivi GPS de l'appareil victime. La deuxième fonctionnalité consiste à exécuter une réinitialisation d'usine de l'appareil infecté.
BRATA.B est très similaire au premier échantillon. Ce qui est différent ici, c'est le partiel obfuscation du code et l'utilisation de pages superposées personnalisées utilisées pour voler le numéro de sécurité (ou NIP) de l'application bancaire ciblée, le rapport note.
BRATA.C se compose d'un compte-gouttes initial qui télécharge et exécute la véritable application malveillante plus tard dans l'attaque.
Les chercheurs observent le malware depuis un certain temps maintenant, et il semble que ses auteurs modifient continuellement son code malveillant. Ceci est fait pour éviter la détection par les fournisseurs d'antivirus.
"Bien que la majorité des chevaux de Troie bancaires Android tentent d'obscurcir/chiffrer le noyau du logiciel malveillant dans un fichier externe (par exemple. .dex ou .jar), BRATA utilise une application minimale pour télécharger dans une deuxième étape l'application BRATA principale (.apk),” l'équipe Cleafy ajoutée.
BRATA est également capable de surveiller les comptes bancaires
Il semble que le banquier ait ses propres méthodes client en matière de suivi des comptes bancaires. Cependant, il peut également surveiller d'autres actions effectuées sur l'appareil infecté. Le logiciel malveillant aide les acteurs de la menace à obtenir les autorisations du service d'accessibilité qui se produit pendant les phases d'installation. Ceci est fait pour observer l'activité effectuée par la victime et/ou utiliser le module VNC pour obtenir des données privées affichées sur l'écran de l'appareil, comme le solde du compte bancaire, Historique des transactions, etc.
Une fois que les pirates envoient une commande spécifique ("get_screen") depuis le serveur de commande et de contrôle, le logiciel malveillant commence à prendre des captures d'écran de l'appareil et à les renvoyer au serveur de commande via le canal HTTP.
Parmi les autres chevaux de Troie bancaires Android notables, citons le Menace basée sur Cerberus appelée ERMAC, la cheval de Troie Ghimob avancé, et l' menace de nouvelle génération SharkBot.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: