Ο παράγοντας απειλής πίσω από το τραπεζικό trojan της BRATA έχει εξελίξει τις τακτικές του και βελτίωσε το κακόβουλο λογισμικό με δυνατότητες κλοπής πληροφοριών.

Η ιταλική εταιρεία ασφάλειας κινητής τηλεφωνίας Cleafy παρακολουθεί τη δραστηριότητα της BRATA και παρατήρησε στις πιο πρόσφατες καμπάνιες αλλαγές που οδηγούν σε μεγαλύτερη επιμονή στη συσκευή.

«Ο τρόπος λειτουργίας ταιριάζει τώρα σε ένα μοτίβο δραστηριότητας Advanced Persistent Threat (APT)», εξηγεί ο Cleafy σε μια αναφορά αυτή την εβδομάδα.

“Αυτός ο όρος χρησιμοποιείται για να περιγράψει μια εκστρατεία επίθεσης στην οποία οι εγκληματίες εγκαθιστούν μια μακροχρόνια παρουσία σε ένα στοχευμένο δίκτυο για να κλέψουν ευαίσθητες πληροφορίες.”

Το ίδιο το κακόβουλο λογισμικό έχει επίσης ενημερωθεί με νέες τεχνικές ηλεκτρονικού “ψαρέματος” (phishing), νέες κατηγορίες για να ζητηθούν πρόσθετες άδειες στη συσκευή και τώρα αφαιρεί επίσης ένα ωφέλιμο φορτίο δεύτερου σταδίου από τον διακομιστή εντολών και ελέγχου (C2).

Στοχευμένες καμπάνιες

Το κακόβουλο λογισμικό BRATA είναι επίσης πιο στοχευμένο, καθώς οι ερευνητές ανακάλυψαν ότι εστιάζει σε ένα χρηματοπιστωτικό ίδρυμα κάθε φορά και στρέφεται μόνο σε διαφορετικό όταν οι επιθέσεις τους καθίστανται αναποτελεσματικές με αντίμετρα.

Για παράδειγμα, το BRATA έρχεται τώρα προφορτωμένο με μια ενιαία επικάλυψη phishing αντί να αποκτά μια λίστα εγκατεστημένων εφαρμογών και να παίρνει τις σωστές ενέσεις από το C2.

Επικάλυψη που χρησιμοποιείται σε μια πρόσφατη καμπάνια (Cleafy)

Αυτό ελαχιστοποιεί την κακόβουλη κίνηση δικτύου και τις αλληλεπιδράσεις με τη συσκευή υποδοχής.

Σε μια πιο πρόσφατη έκδοση, η BRATA προσθέτει περισσότερα δικαιώματα που της επιτρέπουν να στέλνει και να λαμβάνει SMS, τα οποία μπορούν να βοηθήσουν τους εισβολείς να κλέψουν προσωρινούς κωδικούς όπως κωδικούς πρόσβασης μίας χρήσης (OTP) και έλεγχο ταυτότητας δύο παραγόντων (2FA) που στέλνουν οι τράπεζες στους πελάτες τους.

Μετά την ένθεση σε μια συσκευή, το BRATA ανακτά ένα αρχείο ZIP από τον διακομιστή C2 που περιέχει ένα πακέτο JAR (“unrar.jar”).

Αυτό το βοηθητικό πρόγραμμα καταγραφής πλήκτρων παρακολουθεί συμβάντα που δημιουργούνται από εφαρμογές και τα αποθηκεύει τοπικά στη συσκευή με τα δεδομένα κειμένου και μια αντίστοιχη χρονική σήμανση.

Οι αναλυτές του Cleafy είδαν σημάδια ότι αυτό το εργαλείο βρίσκεται ακόμη σε πρώιμη ανάπτυξη και οι ερευνητές πιστεύουν ότι ο απώτερος στόχος του συγγραφέα είναι να καταχραστεί την Υπηρεσία Προσβασιμότητας για να λάβει δεδομένα από άλλες εφαρμογές.