BRATA olarak izlenen Android kötü amaçlı yazılımı, cihaz konumlarını izleme ve hatta sahte banka havalelerini örtbas etmek için görünür bir teklifle fabrika ayarlarına sıfırlama yeteneği veren yeni özelliklerle güncellendi.
İtalyan siber güvenlik firması Cleafy, geçtiğimiz yılın sonlarında tespit edilen en son varyantların güvenlik yazılımı tarafından algılanmaması için bir indirici aracılığıyla dağıtıldığını söyledi. teknik yazı. Hedefler arasında Birleşik Krallık, Polonya, İtalya ve Latin Amerika’daki bankalar ve finans kuruluşları yer alıyor.
Cleafy araştırmacıları, “Android RAT’ı saldırganlar için bu kadar ilginç yapan şey, yeni bir cihaz kullanmak yerine doğrudan kurban cihazlarda çalışabilmesidir.” kayıt edilmiş “Bunu yaparak, Tehdit Aktörleri (TA’lar), cihazın parmak izi banka tarafından zaten bilindiği için “şüpheli” olarak işaretlenme olasılığını önemli ölçüde azaltabilir.”
İlk olarak 2018’in sonunda vahşi doğada görüldü ve “Brezilya Uzaktan Erişim Aracı Android”in kısaltması. BRATA başlangıçta Brezilya’daki kullanıcıları hedef aldı ve daha sonra hızla özelliklerle dolu bir bankacılık truva atına dönüştü. O zamandan beri, kötü amaçlı yazılım çok sayıda yükseltme ve değişiklik alırken, aynı zamanda tespit edilmekten kaçınmak için güvenlik tarayıcı uygulamaları gibi görünüyor.
BRATA setinin en son “uyarlanmış” örnekleri farklı ülkeleri hedefliyor ve ilk damlayı oluşturuyor – “adlı bir güvenlik uygulaması”iGüvenlik” — neredeyse tüm kötü amaçlı yazılım tarama motorları tarafından algılanmadan kalır ve gerçek kötü amaçlı yazılımı indirmek ve yürütmek için kullanılır.
Araştırmacılar, “Kurban, indirme uygulamasını yükledikten sonra, kötü amaçlı uygulamayı güvenilmeyen bir kaynaktan indirip yüklemek için yalnızca bir iznin kabul edilmesini gerektiriyor” dedi. “Kurban yükle düğmesine tıkladığında, indirici uygulama kötü amaçlı .APK’yi indirmek için C2 sunucusuna bir GET isteği gönderir.”
BRATA’nın, doğada gözlemlenen diğer bankacılık truva atları gibi, kurulum aşamasında elde edilen Erişilebilirlik Hizmeti izinlerini, kullanıcının güvenliği ihlal edilmiş cihazdaki etkinliğini gizlice izlemek için kötüye kullandığı bilinmektedir.
Ayrıca, yeni sürümler, hileli bir banka havalesini başarıyla tamamladıktan sonra veya uygulamanın sanal bir ortamda kurulduğu senaryolarda, operatörlerin Android telefonu fabrika ayarlarına geri döndürmelerine olanak tanıyan bir kapatma anahtarı mekanizması içermektedir.
Araştırmacılar, “BRATA yeni hedeflere ulaşmaya ve yeni özellikler geliştirmeye çalışıyor,” dedi ve tehdit aktörlerinin “bu bankacılık truva atını, genellikle yetkisiz banka havalesi (örn. birden fazla Avrupa ülkesinde geniş bir para katır hesabı ağı.”