Il malware Android noto come BRATA ha aggiunto nuove e pericolose funzionalitร alla sua ultima versione, tra cui il tracciamento GPS, la capacitร di utilizzare piรน canali di comunicazione e una funzione che esegue un ripristino delle impostazioni di fabbrica sul dispositivo per cancellare tutte le tracce di attivitร dannose.
BRATA รจ stato individuato per la prima volta da Kaspersky nel 2019 come un Android RAT (strumento di accesso remoto)ย ย rivolto principalmente agli utenti brasilianiย .
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Nel dicembre 2021, un rapporto di Cleafy ha sottolineato l’emergere del malware in Europa, dove รจ stato visto prendere di mira gli utenti di e-banking e rubare le loro credenziali con il coinvolgimento di truffatoriย che si spacciavanoย per agenti dell’assistenza clienti bancariย .
Gli analisti di Cleafy hanno continuato a monitorare BRATA per le nuove funzionalitร e, in un nuovo rapporto pubblicato oggi, illustrano come il malware continua ad evolversi.
Versioni personalizzate per diversi tipi di pubblico
Le ultime versioni del malware BRATA ora prendono di mira gli utenti di e-banking nel Regno Unito, Polonia, Italia, Spagna, Cina e America Latina.
Ogni variante si concentra su banche diverse con set di overlay dedicati, lingue e persino app diverse per rivolgersi a un pubblico specifico.
Gli autori utilizzano tecniche di offuscamento simili in tutte le versioni, come avvolgere il file APK in un pacchetto JAR o DEX crittografato.
Questo offuscamento ignora con successo i rilevamenti antivirus, come illustrato dalla scansione di VirusTotal di seguito.
Nuove caratteristiche
Le nuove funzionalitร ย individuate dai ricercatori Cleafyย nelle ultime versioni di BRATA includono la funzionalitร diย keyloggingย , che integra la funzione di cattura dello schermo esistente.
Sebbene il suo scopo esatto rimanga un mistero per gli analisti, tutte le nuove varianti hanno ancheย il tracciamento GPSย .
Intermezzo promozionale ... continua la lettura dopo il box:
La piรน spaventosa delle nuove funzionalitร dannose รจ l’esecuzione diย ย ripristini di fabbricaย , che gli attori eseguono nelle seguenti situazioni:
- La compromissione รจ stata completata con successo e la transazione fraudolenta รจ terminata (cioรจ le credenziali sono state esfiltrate).
- L’applicazione ha rilevato che viene eseguita in un ambiente virtuale, molto probabilmente per l’analisi.
BRATA utilizza i ripristini di fabbrica come kill switch per l’autoprotezione, ma poichรฉ cancellano il dispositivo, introducono anche la possibilitร di una perdita improvvisa e irreversibile di dati per la vittima.
Infine, BRATA ha aggiuntoย nuovi canali di comunicazioneย per lo scambio di dati con il server C2 e ora supporta HTTP e WebSocket.
L’opzione di WebSocket offre agli attori un canale diretto ea bassa latenza, ideale per la comunicazione in tempo reale e lo sfruttamento manuale dal vivo.
Inoltre, poichรฉ WebSockets non ha bisogno di inviare intestazioni con ogni connessione, il volume del traffico di rete sospetto viene ridotto e, per estensione, le possibilitร di essere rilevato sono ridotte al minimo.
Alcuni suggerimenti per stare al sicuro
BRATA รจ solo uno dei tanti trojan bancari Android e RAT furtivi che circolano in natura, prendendo di mira le credenziali bancarie delle persone.
Il modo migliore per evitare di essere infettati dal malware Android รจ installare SOLO app dal Google Play Store, evitare APK da siti Web ombreggiati e scansionarli sempre con uno strumento AV prima di aprirli.
Durante l’installazione, presta molta attenzione alle autorizzazioni richieste ed evita di concedere quelle che sembrano non necessarie per le funzionalitร principali dell’app.
Infine, monitora il consumo della batteria e i volumi di traffico di rete per identificare eventuali picchi inspiegabili che potrebbero essere attribuiti a processi dannosi in esecuzione in background.
