BRATA-Malware

Der Banking-Trojaner BRATA tauchte erstmals 2019 in Brasilien auf. Die Bedrohung zielte auf Andoird-Geräte ab und war in der Lage, Bildschirmaufnahmen zu machen, neue Anwendungen zu installieren und das infizierte Gerät durch Abschalten des Bildschirms als heruntergefahren erscheinen zu lassen. Seitdem hat sich die Bedrohung jedoch mit mehreren neuen Versionen, die jeweils über erweiterte Angriffsfähigkeiten verfügten, rasant weiterentwickelt. Beispielsweise wurde die Bedrohung im Jahr 2021 in Angriffskampagnen gegen Benutzer in Europa verwendet. Forscher von Infosec entdeckten, dass die BRATA-Malware über gefälschte Anti-Spam-Anwendungen verbreitet wird. Die bedrohlichen Operationen umfassten sogar gefälschte Support-Agenten, die Benutzer dazu verleiteten, ihnen die vollständige Kontrolle über ihre Geräte zu geben.

Anfang 2022 wurde BRATA noch ausgefeilter, indem GPS-Tracking und mehrere Kommunikationskanäle verwendet wurden, um die Command-and-Control-Server (C2, C&C) zu erreichen. Die Bedrohung erhielt auch eine Funktion zum Zurücksetzen auf die Werkseinstellungen, mit der sie die angegriffenen Geräte löschen konnte, nachdem die darauf befindlichen Daten bereits exfiltriert worden waren. Die Bedrohungsakteure haben die BRATA-Versionen auch an das Land der Zielbenutzer angepasst.

Jetzt zeigt ein Bericht von Cleafy, einem italienischen Unternehmen für mobile Sicherheit, dass sich BRATA noch weiter entwickelt hat und sich in eine dauerhafte Bedrohung verwandelt hat, die darauf abzielt, auf den infizierten Geräten zu bleiben. Zu den erweiterten Funktionen der Bedrohung gehört die Möglichkeit, SMS-Nachrichten zu senden oder abzufangen, wodurch die Angreifer effektiv temporäre Codes sammeln können, wie z. B. Einmalpasswörter (OTP) und solche, die für Sicherheitsmaßnahmen der Zwei-Faktor-Authentifizierung (2FA) verwendet werden. BRATA kann auch eine Nutzlast der zweiten Stufe von seinem C2 abrufen. Die zusätzliche Malware wird als ZIP-Archiv mit einem „unrar.jar“-Paket auf dem Gerät abgelegt. Nach der Ausführung fungiert die Nutzlast als Keylogger, der von der Anwendung generierte Ereignisse überwacht und lokal protokolliert.

Schließlich waren die von Cleafy analysierten BRATA-Malware-Versionen äußerst zielgerichtet. Tatsächlich scheinen sich die Bedrohungsakteure jeweils auf ein einzelnes Finanzinstitut zu konzentrieren. Die Angreifer werden erst dann zum nächsten Opfer übergehen, nachdem ihre Bemühungen durch das vorherige durch Sicherheitsmaßnahmen neutralisiert wurden. Dieses Verhalten gibt den Cyberkriminellen die Möglichkeit, den Fußabdruck der BRATA-Malware deutlich zu reduzieren. Schließlich muss die Bedrohung nicht mehr auf die Liste der auf dem angegriffenen Gerät installierten Anwendungen zugreifen und dann die entsprechenden Injektionen vom C2 abrufen. Jetzt ist die Malware mit nur einem Phishing-Overlay vorinstalliert, wodurch der C2-Verkehr und die Aktionen, die sie auf dem Hostgerät ausführen muss, minimiert werden.