Вредоносное ПО для Android, известное как BRATA, добавило в свою последнюю версию новые и опасные функции, в том числе GPS-отслеживание, возможность использовать несколько каналов связи и функцию, которая выполняет сброс настроек устройства для удаления всех следов вредоносной активности.
BRATA был впервые замечен «Лабораторией Касперского» еще в 2019 году как Android RAT (инструмент удаленного доступа), который в основном предназначался для бразильских пользователей .
В декабре 2021 года в отчете Cleafy подчеркивалось появление вредоносного ПО в Европе, где было замечено, что оно нацелено на пользователей электронного банкинга и крадет их учетные данные с участием мошенников , выдающих себя за агентов службы поддержки клиентов банка .
Аналитики Cleafy продолжали следить за новыми функциями BRATA и в новом отчете, опубликованном сегодня, иллюстрируют, как вредоносное ПО продолжает развиваться.
Индивидуальные версии для разных аудиторий
Последние версии вредоносного ПО BRATA нацелены на пользователей электронных банковских услуг в Великобритании, Польше, Италии, Испании, Китае и Латинской Америке.Каждый вариант ориентирован на разные банки с выделенными наборами наложений, языками и даже разными приложениями для целевой аудитории.
Варианты BRATA, циркулирующие в разных странах
. Источник: Cleafy.
Авторы используют аналогичные методы запутывания во всех версиях, такие как упаковка файла APK в зашифрованный пакет JAR или DEX.
Эта обфускация успешно обходит обнаружение антивируса, как показано на сканировании VirusTotal ниже.
Скорость обнаружения новейших образцовИсточник: Cleafy
На этом фронте BRATA теперь активно ищет признаки присутствия AV на устройстве и пытается удалить обнаруженные инструменты безопасности, прежде чем перейти к этапу эксфильтрации данных.
BRATA удалил антивирусные инструменты
Источник: Cleafy
Новые возможности
Новые функции , обнаруженные исследователями Cleafy в последних версиях BRATA, включают функцию регистрации клавиатуры , которая дополняет существующую функцию захвата экрана.Хотя его точное назначение остается для аналитиков загадкой, все новые варианты также имеют GPS-трекинг .
Самой страшной из новых вредоносных функций является выполнение заводских сбросов , которые злоумышленники выполняют в следующих ситуациях:
- Компрометация была успешно завершена, и мошенническая транзакция завершена (т. е. учетные данные были украдены).
- Приложение обнаружило, что оно работает в виртуальной среде, скорее всего, для анализа.
Функция сброса к заводскимнастройкам Источник: Cleafy
Наконец, BRATA добавила новые каналы связи для обмена данными с сервером C2 и теперь поддерживает HTTP и WebSockets.
Связь с C2 в новом BRATAИсточник: Cleafy
Опция WebSockets дает актерам прямой канал с малой задержкой, который идеально подходит для общения в реальном времени и эксплуатации вручную в реальном времени.
Более того, поскольку WebSockets не нужно отправлять заголовки при каждом соединении, объем подозрительного сетевого трафика уменьшается, и, соответственно, шансы быть обнаруженными сведены к минимуму.
Основные способы обезопасить себя
BRATA — лишь один из многих банковских троянов Android и скрытых RAT, циркулирующих в дикой природе и нацеленных на банковские учетные данные людей.Лучший способ избежать заражения вредоносным ПО для Android — установить приложения из Google Play Store, избегать APK-файлов с сомнительных веб-сайтов и всегда сканировать их с помощью антивирусного инструмента перед открытием.
Во время установки обратите особое внимание на запрошенные разрешения и избегайте предоставления тех, которые кажутся ненужными для основных функций приложения.
Разрешение на сброс до заводских настроек, запрошенное приложением BRATA со шнуровкой
Источник: Cleafy
Наконец, отслеживайте расход заряда аккумулятора и объемы сетевого трафика, чтобы выявлять любые необъяснимые всплески, которые могут быть связаны с вредоносными процессами, работающими в фоновом режиме.
Перевод - Google
Bleeping Computer