Вредоносное ПО для Android, отслеживаемое как BRATA, было обновлено новыми функциями, которые дают ему возможность отслеживать местоположение устройства и даже выполнять сброс настроек к заводским настройкам, очевидно, пытаясь скрыть мошеннические банковские переводы.
Сообщается, что последние варианты, обнаруженные в конце прошлого года, распространяются через загрузчик, чтобы избежать обнаружения программным обеспечением безопасности, заявила итальянская фирма по кибербезопасности Cleafy в своем отчете. техническое описание. Цели включают банки и финансовые учреждения в Великобритании, Польше, Италии и Латинской Америке.
«Что делает Android RAT таким интересным для злоумышленников, так это его способность работать непосредственно на устройствах жертвы, а не использовать новое устройство», — исследователи Cleafy. отметил, в декабре 2021 года. «Поступая так, субъекты угроз (TA) могут резко снизить вероятность того, что они будут помечены как «подозрительные», поскольку отпечатки пальцев устройства уже известны банку».
Впервые замеченный в дикой природе в конце 2018 года, сокращение от «Бразильское средство удаленного доступа Android». Брата Первоначально он был нацелен на пользователей в Бразилии, а затем быстро превратился в многофункционального банковского трояна. С тех пор вредоносное ПО претерпело множество обновлений и изменений, а также выдавало себя за приложения сканера безопасности чтобы избежать обнаружения.
Последние «адаптированные» образцы набора BRATA нацелены на разные страны и представляют собой первоначальный дроппер — приложение безопасности, получившее название «iSecurity», который остается незамеченным практически всеми модулями сканирования вредоносных программ и используется для загрузки и запуска реального вредоносного программного обеспечения.
«После того, как жертва устанавливает приложение-загрузчик, требуется принять всего одно разрешение на загрузку и установку вредоносного приложения из ненадежного источника», — говорят исследователи. «Когда жертва нажимает кнопку установки, приложение-загрузчик отправляет запрос GET на сервер C2 для загрузки вредоносного .APK».
Известно, что BRATA, как и другие известные банковские трояны, злоупотребляет своими разрешениями службы специальных возможностей, полученными на этапе установки, для скрытого наблюдения за действиями пользователя на скомпрометированном устройстве.
Кроме того, новые версии включают механизм аварийного отключения, который позволяет операторам восстановить заводские настройки телефона Android после успешного завершения мошеннического банковского перевода или в сценариях, когда приложение установлено в виртуальной среде.
«BRATA пытается выйти на новые цели и разработать новые функции», — заявили исследователи, добавив, что злоумышленники «используют этот банковский троян для совершения мошенничества, как правило, путем несанкционированного банковского перевода (например, SEPA) или через мгновенные платежи, используя широкая сеть счетов денежных мулов в нескольких европейских странах».
