De Android-malware die wordt gevolgd als BRATA is bijgewerkt met nieuwe functies die het de mogelijkheid bieden om apparaatlocaties te volgen en zelfs een fabrieksreset uit te voeren in een schijnbaar poging om frauduleuze overboekingen te verdoezelen.
De nieuwste varianten, die eind vorig jaar werden ontdekt, zouden via een downloader worden verspreid om te voorkomen dat ze door beveiligingssoftware worden gedetecteerd, zei het Italiaanse cyberbeveiligingsbedrijf Cleafy in een persbericht. technisch schrijven. Doelgroepen zijn onder meer banken en financiële instellingen in het VK, Polen, Italië en Latijns-Amerika.
“Wat Android RAT zo interessant maakt voor aanvallers, is de mogelijkheid om rechtstreeks op de apparaten van het slachtoffer te werken in plaats van een nieuw apparaat te gebruiken”, aldus Cleafy-onderzoekers. dat is genoteerd in december 2021. “Hierdoor kunnen Threat Actors (TA’s) de mogelijkheid om als “verdacht” te worden gemarkeerd drastisch verminderen, aangezien de vingerafdrukken van het apparaat al bekend zijn bij de bank.”
Voor het eerst gezien in het wild eind 2018 en een afkorting voor “Braziliaanse Remote Access Tool Android,” BRATA was aanvankelijk gericht op gebruikers in Brazilië en evolueerde vervolgens snel naar een banktrojan boordevol functies. Sindsdien heeft de malware talloze upgrades en wijzigingen ondergaan, terwijl ze zich ook voordoen als beveiligingsscanner-apps om aan detectie te ontsnappen.
De nieuwste “op maat gemaakte” voorbeelden van BRATA-sets zijn gericht op verschillende landen en vormen een eerste druppelaar – een beveiligingsapp genaamd “iBeveiliging” — dat onopgemerkt blijft door vrijwel alle malware-scanengines en wordt gebruikt om de echte kwaadaardige software te downloaden en uit te voeren.
“Nadat het slachtoffer de downloader-app heeft geïnstalleerd, hoeft hij slechts één toestemming te accepteren om de schadelijke applicatie van een niet-vertrouwde bron te downloaden en te installeren”, aldus de onderzoekers. “Wanneer het slachtoffer op de installatieknop klikt, stuurt de downloader-app een GET-verzoek naar de C2-server om de kwaadaardige .APK te downloaden.”
Het is bekend dat BRATA, net als andere banktrojans die in het wild worden waargenomen, misbruik maakt van de toestemmingen voor de toegankelijkheidsservice die tijdens de installatiefase zijn verkregen om de activiteit van de gebruiker op het gecompromitteerde apparaat heimelijk te volgen.
Bovendien bevatten de nieuwe versies een kill-switchmechanisme waarmee de operators de Android-telefoon kunnen herstellen naar de fabrieksinstellingen na het succesvol voltooien van een frauduleuze overboeking of in scenario’s waarin de applicatie in een virtuele omgeving is geïnstalleerd.
“BRATA probeert nieuwe doelen te bereiken en nieuwe functies te ontwikkelen”, aldus de onderzoekers, terwijl bedreigingsactoren “gebruikmaken van deze banktrojan voor het uitvoeren van fraude, meestal via ongeautoriseerde overboeking (bijv. SEPA) of via Instant Payments, met behulp van een breed netwerk van money mules-rekeningen in meerdere Europese landen.”
