BRATA é o nome de um trojan bancário Android que os pesquisadores de segurança vêm observando há algum tempo. Em um novo relatório compilado pela empresa de segurança cibernética Cleafy, novas informações sobre o banqueiro foram reveladas.
Atores de ameaças têm usado o trojan para “perpetrar fraudes por meio de transferências eletrônicas não autorizadas”. Alguns dos novos recursos adicionados ao malware incluem a redefinição de fábrica do dispositivo, rastreamento por GPS, usando vários canais de comunicação (como HTTP e TCP), e poder monitorar continuamente o aplicativo do banco da vítima via VNC (Virtual Network Computing) e keylogger.
Quem foi alvo da última variante BRATA?
A lista de alvos agora contém mais bancos e instituições financeiras no Reino Unido, Polônia, Itália, e América Latina, o relatório observou. Deve-se mencionar que a primeira onda de ataque foi iniciada em novembro 2021, e a segunda em meados de dezembro do mesmo ano. Durante a segunda onda, hackers começaram a entregar várias novas variantes em vários países. Os pesquisadores também detectaram algumas amostras contendo cordas espanholas e chinesas.
A partir de agora, três variantes do trojan BRATA foram identificadas:
BRATA.A: Esta variante foi a mais usada nos últimos meses. Em dezembro, hackers adicionaram dois novos recursos ao seu conjunto de recursos. O primeiro recurso ainda está em desenvolvimento, e está relacionado ao rastreamento por GPS do dispositivo da vítima. O segundo recurso está executando uma redefinição de fábrica do dispositivo infectado.
BRATA.B é muito semelhante à primeira amostra. O que é diferente aqui é o parcial ofuscação do código e o uso de páginas de sobreposição personalizadas usadas para roubar o número de segurança (ou PIN) do aplicativo bancário direcionado, o relatório observou.
BRATA.C consiste em um dropper inicial que baixa e executa o aplicativo malicioso real mais tarde no ataque.
Pesquisadores observam o malware há algum tempo, e parece que seus autores estão continuamente modificando seu código malicioso. Isso é feito para evitar a detecção por fornecedores de antivírus.
“Embora a maioria dos trojans bancários do Android tente ofuscar/criptografar o núcleo do malware em um arquivo externo (por exemplo. .dex ou .jar), A BRATA usa um aplicativo mínimo para baixar em uma segunda etapa o aplicativo principal da BRATA (.apk),” a equipe Cleafy adicionado.
BRATA também capaz de monitorar contas bancárias
Parece que o banqueiro tem seus próprios métodos de cliente em termos de monitoramento de contas bancárias. Contudo, ele também pode monitorar outras ações executadas no dispositivo infectado. O malware ajuda os agentes de ameaças a obter permissões do Serviço de Acessibilidade que acontecem durante as fases de instalação. Isso é feito para observar a atividade realizada pela vítima e/ou usar o módulo VNC para obter dados privados mostrados na tela do dispositivo, como saldo de conta bancária, histórico de transações, etc.
Uma vez que os hackers enviam um comando específico (“get_screen”) do servidor de comando e controle, o malware começa a fazer capturas de tela do dispositivo e as envia de volta ao servidor de comando por meio do canal HTTP.
Outros trojans bancários Android notáveis incluem o Ameaça baseada em Cerberus chamada ERMAC, a Trojan Ghimob avançado, e a ameaça de nova geração SharkBot.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: