Шкідливе програмне забезпечення для Android, відоме як BRATA, додало в свою останню версію нові та небезпечні функції. Серед них GPS-відстеження, можливість використовувати кілька каналів зв’язку та функцію, яка виконує скидання налаштувань пристрою для видалення всіх слідів шкідливої діяльності.
Вперше про BRATA було згадано ще у 2019 році. ПЗ класифікували як Android RAT (інструмент віддаленого доступу), який здебільшого призначався для бразильських користувачів.
- Шкідливе ПЗ для iOS може імітувати вимкнення iPhone, щоб відстежувати камеру та мікрофон
- Європол та 10 країн відключили популярний VPN для кіберзлочинців
- Хакери надсилали USB-накопичувачі зі шкідливим ПЗ під виглядом подарунків
У грудні 2021 року у звіті Cleafy наголошувалося на появі шкідливого ПЗ у Європі. Було помічено, що воно націлене на користувачів онлайн-банкінгу та краде їхні облікові дані за участю шахраїв, що видають себе за агентів служби підтримки клієнтів банку. Аналітики Cleafy продовжували стежити за новими функціями BRATA і в новому звіті ілюструють, як шкідливе програмне забезпечення продовжує розвиватися.
Індивідуальні версії для різних аудиторій
Останні версії шкідливого програмного забезпечення BRATA націлені на користувачів онлайн банківських послуг у Великій Британії, Польщі, Італії, Іспанії, Китаї та Латинській Америці.
Кожен варіант спрямований на різні банки з виділеними наборами накладень, мовами і навіть різними застосунками для цільової аудиторії. Злочинці використовують аналогічні методи заплутування у всіх версіях, як-от упакування файлу APK у зашифрований пакет JAR або DEX. Це дозволяє успішно обходить виявлення антивірусом.
Шкідливе програмне забезпечення отримало нові можливості
Нові можливості, виявлені дослідниками Cleafy в останніх версіях BRATA, містять функцію реєстрації клавіатури, яка доповнює наявну функцію захоплення екрана. Хоча його точне призначення залишається для аналітиків загадкою, нові варіанти також мають GPS-трекінг. Найстрашнішою з нових шкідливих функцій є виконання скидання до заводських налаштувань, які зловмисники виконують у деяких ситуаціях. Серед них:
- компрометація і шахрайська транзакція завершені (тобто облікові дані були викрадені);
- застосунок виявив, що він працює у віртуальному середовищі, швидше за все, для аналізу;
- скидання як аварійний вимикач для самозахисту.
А ще BRATA додала нові канали зв’язку для обміну даними із сервером C2 і тепер підтримує http та WebSockets. Опція WebSockets надає їм прямий канал із малою затримкою, який ідеально підходить для спілкування та експлуатації вручну у реальному часі.
Основні способи убезпечити себе
BRATA – лише один із багатьох банківських троянів Android та прихованих RAT, що активно використовуються та націлені на банківські облікові дані людей.
Найкращий спосіб уникнути зараження шкідливим програмним забезпеченням для Android – встановлювати програми з Google Play Store, уникати APK-файлів з сумнівних вебсайтів і завжди сканувати їх за допомогою антивірусу перед відкриттям. Під час встановлення зверніть особливу увагу на запитані дозволи та уникайте надання тих, які здаються непотрібними для основних функцій програми.
Відстежуйте витрати заряду акумулятора та обсяги мережного трафіку, щоб виявляти будь-які незрозумілі дії, які можуть бути пов’язані з шкідливими процесами, що працюють у фоновому режимі.