Το BRATA banking trojan έχει εξελιχθεί και είναι πλέον ένα επίμονο Android-wiping malware, που κλέβει ευαίσθητα δεδομένα.
Δείτε επίσης: MaliBot Android malware: Παρακάμπτει το multi-factor authentication
Η ιταλική εταιρεία ασφάλειας κινητής τηλεφωνίας Cleafy, παρακολουθεί τη δραστηριότητα του BRATA και παρατήρησε στις πιο πρόσφατες επιθέσεις του, αλλαγές που οδηγούν σε μεγαλύτερη επιμονή στη συσκευή.
“Ο τρόπος λειτουργίας ταιριάζει τώρα σε ένα μοτίβο δραστηριότητας Advanced Persistent Threat (APT)“, εξηγεί η Cleafy σε μια αναφορά αυτή την εβδομάδα.
Το ίδιο το malware έχει επίσης ενημερωθεί με νέες τεχνικές ηλεκτρονικού “ψαρέματος” (phishing), νέες κατηγορίες για να ζητηθούν πρόσθετες άδειες στη συσκευή και τώρα αφαιρεί επίσης ένα ωφέλιμο φορτίο δεύτερου σταδίου από τον διακομιστή εντολών και ελέγχου (C2).
Το κακόβουλο λογισμικό BRATA είναι επίσης πιο στοχευμένο, καθώς οι ερευνητές ανακάλυψαν ότι εστιάζει σε ένα χρηματοπιστωτικό ίδρυμα τη φορά και στρέφεται σε διαφορετικό μόνο όταν οι επιθέσεις του καθίστανται πλέον αναποτελεσματικές.
Για παράδειγμα, το BRATA έρχεται τώρα με μια ενιαία επικάλυψη phishing, αντί για την απόκτηση μιας λίστας εγκατεστημένων εφαρμογών και φέρνοντας τα σωστά injections από το C2.
Δείτε ακόμα: Play Store: Adware και malware κρύβονται σε apps με χιλιάδες λήψεις
Αυτό ελαχιστοποιεί την κακόβουλη κίνηση δικτύου και τις αλληλεπιδράσεις με τη συσκευή υποδοχής.
Σε μια πιο πρόσφατη έκδοση, το BRATA προσθέτει περισσότερα δικαιώματα που του επιτρέπουν να στέλνει και να λαμβάνει SMS, τα οποία μπορούν να βοηθήσουν τους εισβολείς να κλέψουν προσωρινούς κωδικούς όπως κωδικούς πρόσβασης μίας χρήσης (OTP) και έλεγχο ταυτότητας δύο παραγόντων (2FA) που στέλνουν οι τράπεζες στους πελάτες τους.
Μετά την ένθεση σε μια συσκευή, το BRATA ανακτά ένα αρχείο ZIP από τον διακομιστή C2 που περιέχει ένα πακέτο JAR (“unrar.jar”). Αυτό το βοηθητικό πρόγραμμα καταγραφής πλήκτρων παρακολουθεί συμβάντα που δημιουργούνται από εφαρμογές και τα αποθηκεύει τοπικά στη συσκευή με τα δεδομένα κειμένου και μια αντίστοιχη χρονική σήμανση.
Οι αναλυτές του Cleafy είδαν σημάδια ότι αυτό το εργαλείο βρίσκεται ακόμη σε πρώιμη ανάπτυξη και οι ερευνητές πιστεύουν ότι ο απώτερος στόχος του δημιουργού είναι να καταχραστεί την Υπηρεσία Προσβασιμότητας για να λάβει δεδομένα από άλλες εφαρμογές.
Δείτε επίσης: Η Ιρανική ομάδα Lyceum χρησιμοποιεί νέο DNS hijacking malware
Προς το παρόν, δεν είναι σαφές εάν πρόκειται απλώς για ένα πείραμα σε μια προσπάθεια της ομάδας BRATA να δημιουργήσει απλούστερες εφαρμογές αφιερωμένες σε συγκεκριμένους ρόλους.
Αυτό που είναι ξεκάθαρο είναι ότι το BRATA συνεχίζει να εξελίσσεται με εξαιρετικά γρήγορους ρυθμούς. Είναι επιτακτική ανάγκη να παραμείνετε σε εγρήγορση, να διατηρείτε τη συσκευή σας ενημερωμένη και να αποφεύγετε την εγκατάσταση εφαρμογών από ανεπίσημες ή ύποπτες πηγές.