Brata è un remote access trojan specializzato in furto dati (bancari ovviamente). E' una presenza ricorrente, anche se non fissa, dei report settimanali con cui il CERT-AGID informa degli attacchi e delle campagne malware individuate, analizzate e contrastate nel cyber spazio italiano. Non ha il peso di un Emotet, il malware che ormai si gode fisso il posto sul gradino più alto del podio dei malware più diffusi in Italia: sicuramente Brata è tra quelli che più spesso e con più continuità sono diffusi contro i sistemi Android.
Per saperne di più > Anatomia di Brata, il Remote Access Trojan per Android diffuso in Italia
Ora Brata evolve ulteriormente, dato che i suoi sviluppatori hanno migliorato le tecniche di attacco e infezione ma anche le funzionalità di furto dei dati. In pratica Brata è stato trasformato in un Advanced Persistent Threat (APT): si intende con questo la trasformazione di questo malware in una minaccia persistente capace di garantirsi la presenza di lungo periodo sui dispositivi al fine di rubare informazioni sensibili.
Nuove tecniche per le campagne di Phishing
Anzitutto Brata si è fatto più mirato: i ricercatori hanno scoperto infatti che si concentra su un istituto finanziario alla volta e passa ad un altro solo quando le contromisure dello stesso rendono inefficienti gli attacchi. Nella nuova versione infatti Brata porta con se un solo overlay, invece di ottenere una lista di app installate e recuperare le injection corrette dal server C&C. Sotto un esempio delle più recenti campagne in uso
 |
| Fonte: Cleafy |
Queste accortezze riducono al minimo il traffico di rete e le interazioni col dispositivo.
Non solo: la più recente versione di Brata ottiene più permissioni, come quella necessaria a spedire e ricevere SMS. Questa funzionalità è essenziale per rubare codici temporanei, OTP e intercettare l'autenticazione multi fattore, che poi sono i meccanismi con le quali le banche identificano e concedono le operazioni ai propri clienti. Ovviamente lo scopo ultimo per Brata resta quello di ottenere le permissioni come Servizio di accessibilità, cosa che gli consentirebbe di rubare dati anche da altre applicazioni.
L'evoluzione di Brata in pillole
Brata ha debuttato nel 2019 bersagliando clienti di banche brasiliane. Eseguiva screenshot, installava nuove app e rubava, ovviamente, i dati. Nel Giugno 2021 sono iniziate le campagne di distribuzione in Europa: al tempo, più che sfruttare campagne di phishing, si nascondeva entro false app antispam.
Nel Gennaio 2022 è stata individuata una nuova versione già usata in attacchi reali, capace di tracciare il GPS, di utilizzare più canali di comunicazioni C&C e di utilizzare versioni su misura a seconda dell'istituto bancario di appartenenza della vittima. Ha anche una funzionalità che consente di riportare il dispositivo infetto alle impostazioni di fabbrica, cancellando così tutti i dati rubati ma anche ogni traccia di sé stesso e delle proprie attività.
La funzione per l'intercettazione degli SMS
Infine ecco la novità della scorsa settimana: un'app per il furto degli SMS che comunica con la stessa infrastruttura C&C. Questa versione è già in diffusione in Italia, Regno Unito e Spagna. Per intercettare gli SMS in arrivo, l'app richiede all'utente di impostarla come app di messaggistica predefinita, mentre richiede anche l'autorizzazione per accedere ai contatti salvati sul dispositivo.
.webp) |
| Fonte: Cleafy |
Probabilmente questa funzione è soltanto in fase di test, ma il team dietro Brata ci ha abituato ad aggiornamenti del malware con cadenza praticamente bimestrale.
Nessun commento:
Posta un commento