BRATAは、セキュリティ研究者がしばらくの間観察してきたAndroidバンキング型トロイの木馬の名前です。. サイバーセキュリティ会社Cleafyがまとめた新しいレポート, 銀行家に関する新しい情報が明らかになりました.
脅威アクターは、トロイの木馬を使用して「不正な電信送金を介して詐欺を実行」しています。マルウェアに追加された新機能には、デバイスの工場出荷時のリセットの実行が含まれます。, GPS追跡, 複数の通信チャネルを使用する (HTTPやTCPなど), VNCを介して被害者の銀行アプリを継続的に監視できる (仮想ネットワークコンピューティング) およびキーロガー.
最新のBRATAバリアントのターゲットになっているのは誰か?
ターゲットリストには、英国の銀行や金融機関がさらに含まれるようになりました, ポーランド, イタリア, およびラテンアメリカ, 報告書は指摘しました. 最初の攻撃の波は11月に開始されたことに言及する必要があります 2021, 2つ目は同じ年の12月中旬頃. 第二波の間, ハッカーはさまざまな国でいくつかの新しい亜種の配信を開始しました. 研究者たちはまた、スペイン語と中国語の文字列を含むいくつかのサンプルを発見しました.
今のところ, BRATAトロイの木馬の3つの亜種が特定されました:
BRATA.A: このバリアントは、過去数か月の間に最も使用されています. 12月中, ハッカーは、その機能セットに2つの新機能を追加しました. 最初の機能はまだ開発中です, 被害者のデバイスのGPS追跡に関連しています. 2番目の機能は、感染したデバイスの工場出荷時のリセットを実行することです.
BRATA.B 最初のサンプルと非常によく似ています. ここで違うのは部分的です 難読化 コードの使用とセキュリティ番号を盗むために使用される調整されたオーバーレイページの使用 (またはPIN) 対象となる銀行アプリケーションの, 報告書は指摘しました.
BRATA.C 攻撃の後半で実際の悪意のあるアプリをダウンロードして実行する最初のドロッパーで構成されます.
研究者はしばらくの間マルウェアを観察してきました, そして、その作者は悪意のあるコードを継続的に変更しているようです. これは、ウイルス対策ベンダーによる検出を回避するために行われます。.
「Androidバンキング型トロイの木馬の大多数は、マルウェアコアを外部ファイルで難読化/暗号化しようとしていますが (例えば. .dexまたは.jar), BRATAは最小限のアプリを使用して、2番目のステップでコアBRATAアプリをダウンロードします (.apk),」Cleafyチーム 追加した.
BRATAは銀行口座の監視も可能
銀行口座の監視に関して、銀行家は独自の顧客手法を持っているようです. でも, また、感染したデバイスで実行された他のアクションを監視することもできます. このマルウェアは、脅威の攻撃者がインストール段階で発生するアクセシビリティサービスのアクセス許可を取得するのに役立ちます. これは、被害者によって実行されたアクティビティを監視したり、VNCモジュールを使用してデバイスの画面に表示されるプライベートデータを取得したりするために行われます。, 銀行口座の残高など, 取引履歴, 等.
ハッカーが特定のコマンドを送信すると (「get_screen」) コマンドアンドコントロールサーバーから, マルウェアはデバイスのスクリーンショットを撮り始め、HTTPチャネルを介してコマンドサーバーに送り返します。.
その他の注目すべきAndroidバンキング型トロイの木馬には、 ERMACと呼ばれるケルベロスベースの脅威, the 高度なGhimobトロイの木馬, そしてその 新世代の脅威SharkBot.