BRATA è il nome di un trojan bancario Android che i ricercatori di sicurezza stanno osservando da un po'. In un nuovo rapporto compilato dalla società di sicurezza informatica Cleafy, sono state rivelate nuove informazioni sul banchiere.
Gli attori della minaccia hanno utilizzato il trojan per "perpetrare frodi tramite bonifici non autorizzati". Alcune delle nuove funzionalità aggiunte al malware includono l'esecuzione del ripristino delle impostazioni di fabbrica del dispositivo, Tracciamento GPS, utilizzando più canali di comunicazione (come HTTP e TCP), ed essere in grado di monitorare continuamente l'app della banca della vittima tramite VNC (Virtual Network Computing) e keylogging.
Chi è stato preso di mira con l'ultima variante BRATA?
L'elenco degli obiettivi ora contiene altre banche e istituzioni finanziarie nel Regno Unito, Polonia, Italia, e America Latina, il rapporto osserva. Va ricordato che la prima ondata di attacchi è stata avviata a novembre 2021, e il secondo verso la metà di dicembre dello stesso anno. Durante la seconda ondata, gli hacker hanno iniziato a fornire diverse nuove varianti in vari paesi. I ricercatori hanno anche individuato alcuni campioni contenenti stringhe spagnole e cinesi.
Al momento, sono state identificate tre varianti del trojan BRATA:
BRATA.A: Questa variante è stata utilizzata di più negli ultimi mesi. In dicembre, gli hacker hanno aggiunto due nuove funzionalità al suo insieme di funzionalità. La prima funzione è ancora in fase di sviluppo, ed è correlato al tracciamento GPS del dispositivo vittima. La seconda funzionalità sta eseguendo un ripristino delle impostazioni di fabbrica del dispositivo infetto.
BRATA.B è molto simile al primo campione. Ciò che è diverso qui è il parziale offuscazione del codice e l'uso di pagine overlay personalizzate utilizzate per rubare il numero di sicurezza (o PIN) dell'applicazione bancaria mirata, il rapporto osserva.
BRATA.C consiste in un contagocce iniziale che scarica ed esegue la vera app dannosa più avanti nell'attacco.
I ricercatori stanno osservando il malware da un po' di tempo ormai, e sembra che i suoi autori modifichino continuamente il suo codice dannoso. Questo viene fatto per evitare il rilevamento da parte dei fornitori di antivirus.
“Sebbene la maggior parte dei trojan bancari Android tenti di offuscare/crittografare il core del malware in un file esterno (per esempio. .dex o .jar), BRATA utilizza un'app minima per scaricare in un secondo passaggio l'app BRATA principale (.apk),” la squadra di Cleafy aggiunto.
BRATA Capace anche di monitoraggio del conto bancario
Sembra che il banchiere abbia i propri metodi per i clienti in termini di monitoraggio dei conti bancari. Tuttavia, può anche monitorare altre azioni eseguite sul dispositivo infetto. Il malware aiuta gli attori delle minacce a ottenere le autorizzazioni del servizio di accessibilità che si verificano durante le fasi di installazione. Questo viene fatto per osservare l'attività svolta dalla vittima e/o utilizzare il modulo VNC per ottenere dati privati mostrati sullo schermo del dispositivo, come il saldo del conto bancario, Cronologia delle transazioni, etc.
Una volta che gli hacker inviano un comando specifico ("get_screen") dal server di comando e controllo, il malware inizia a catturare screenshot del dispositivo e a rimandarli al server di comando tramite il canale HTTP.
Altri importanti trojan bancari Android includono il Minaccia basata su Cerberus chiamata ERMAC, il trojan Ghimob avanzato, e la minaccia di nuova generazione SharkBot.