BRATA is de naam van een Android banking-trojan die beveiligingsonderzoekers al een tijdje observeren. In een nieuw rapport opgesteld door cyberbeveiligingsbedrijf Cleafy, nieuwe informatie over de bankier is onthuld.
Bedreigingsactoren gebruiken de trojan om 'fraude te plegen via ongeautoriseerde overboekingen'. Enkele van de nieuwe mogelijkheden die aan de malware zijn toegevoegd, zijn onder meer het terugzetten naar de fabrieksinstellingen van het apparaat, GPS-tracking, meerdere communicatiekanalen gebruiken (zoals HTTP en TCP), en continu de bank-app van het slachtoffer kunnen volgen via VNC (Virtual Network Computing) en keylogging.
Wie is het doelwit van de nieuwste BRATA-variant??
De doellijst bevat nu nog meer banken en financiële instellingen in het VK, Polen, Italië, en Latijns-Amerika, het verslag wordt opgemerkt. Vermeldenswaard is dat de eerste aanvalsgolf in november werd ingezet 2021, en de tweede rond half december van hetzelfde jaar. Tijdens de tweede golf, hackers begonnen met het leveren van verschillende nieuwe varianten in verschillende landen. De onderzoekers zagen ook enkele samples met Spaanse en Chinese snaren.
Vanaf nu, er zijn drie varianten van de BRATA-trojan geïdentificeerd:
BRATA.A: Deze variant is de afgelopen maanden het meest gebruikt. In december, hackers hebben twee nieuwe functies toegevoegd aan de reeks mogelijkheden. De eerste functie is nog in ontwikkeling, en is gerelateerd aan GPS-tracking van het slachtofferapparaat. De tweede functie is het uitvoeren van een fabrieksreset van het geïnfecteerde apparaat.
BRATA.B lijkt erg op het eerste voorbeeld. Wat hier anders is, is de gedeeltelijke verduistering van de code en het gebruik van op maat gemaakte overlay-pagina's die worden gebruikt om het beveiligingsnummer te stelen (of pincode) van de gerichte banktoepassing, het verslag wordt opgemerkt.
BRATA.C bestaat uit een eerste dropper die de echte kwaadaardige app later in de aanval downloadt en uitvoert.
Onderzoekers observeren de malware al een tijdje, en het lijkt erop dat de auteurs voortdurend de kwaadaardige code wijzigen. Dit wordt gedaan om detectie door antivirusleveranciers te voorkomen.
“Hoewel de meerderheid van de Android banking-trojans de malwarekern in een extern bestand probeert te verdoezelen/versleutelen (bv. .dex of .jar), BRATA gebruikt een minimale app om in een tweede stap de kern BRATA-app te downloaden (.apk),Het Cleafy-team toegevoegd.
BRATA kan ook bankrekeningen controleren
Het lijkt erop dat de bankier zijn eigen klantmethoden heeft voor het controleren van bankrekeningen. Echter, het kan ook andere acties volgen die op het geïnfecteerde apparaat worden uitgevoerd. De malware helpt bedreigingsactoren om toegangsrechten voor de toegankelijkheidsservice te verkrijgen, wat gebeurt tijdens de installatiefasen. Dit wordt gedaan om de activiteit van het slachtoffer te observeren en/of de VNC-module te gebruiken om privégegevens te verkrijgen die op het scherm van het apparaat worden weergegeven, zoals bankrekeningsaldo, Transactie Geschiedenis, etc.
Zodra hackers een specifiek commando hebben verzonden ("get_screen") van de command-and-control-server, de malware begint screenshots van het apparaat te maken en deze via het HTTP-kanaal terug te sturen naar de opdrachtserver.
Andere opmerkelijke trojans voor Android-bankieren zijn de: Cerberus-gebaseerde dreiging genaamd ERMAC, de geavanceerde Ghimob-trojan, en nieuwe generatie bedreiging SharkBot.