Новая версия вредоносной программы BRATA под Android приносит новый функционал, включая GPS-отслеживание и функцию сброса устройства к заводским настройкам.
Эксперты по безопасности Лаборатории Касперского обнаружили Android-троян BRATA (название происходит от «Brazilian RAT Android») в 2019 году, когда он использовался для шпионажа за бразильскими пользователями. Впервые BRATA был обнаружен в январе 2019 года при его распространении через WhatsApp и SMS-сообщения.
Троян также распространялся и через официальный магазин Google Play Store, а также через неофициальные магазины приложений для Android.
Большинство зараженных приложений выдают себя за обновление популярного мессенджера WhatsApp, которое устраняет дефект CVE-2019-3568. После того как вредонос заразит устройство жертвы, он запустит функцию кейлоггинга, дополнив ее потоковой передачей данных в режиме реального времени. Троян использует функцию Android Accessibility Service для взаимодействия с другими приложениями, установленными на устройстве жертвы.
BRATA поддерживает множество команд, таких как разблокировка устройства жертвы, сбор информации об устройстве, отключение экрана для скрытного выполнения задач в фоновом режиме, выполнение любого конкретного приложения, а также удаление самого себя и любых следов заражения.
В декабре 2021 года исследователи из компании Cleafy обнаружили новый вариант трояна, нацеленный на учетные данные пользователей банковских Android-приложений в Европе. Теперь те же исследователи обнаружили новый штамм, в котором реализованы описанные выше новые функции.
Последняя версия вредоноса нацелена на пользователей электронных банковских сервисов в Великобритании, Польше, Италии, Испании, Китае и Латинской Америке. Он использует специализированные оверлейные страницы под конкретные банковские приложения для кражи PIN-кодов пользователя.
Все варианты используют схожие методы обфускации, что позволило угрозе долгое время избегать обнаружения.
Ниже приведен список новых функций в последних версиях BRATA:
- Возможность выполнить сброс устройства на заводские настройки: похоже, что атакующие используют эту функцию для удаления любых следов сразу после попытки несанкционированного банковского перевода.
- Возможность GPS-слежения.
- Возможность использования нескольких каналов связи (HTTP и TCP) между устройством и C&C-сервером для поддержания постоянного соединения.
- Возможность постоянного мониторинга банковского приложения жертвы с помощью VNC и методов кейлоггинга.
Эксперты считают, что функция сброса к заводским настройкам позволяет злоумышленникам удалять любые следы своей деятельности после завершения компрометации или когда приложение обнаруживает, что оно запущено в виртуальной песочнице, используемой для анализа.
«Этот механизм представляет собой «аварийный выключатель» для этой вредоносной программы» - сообщают исследователи. «Фактически, было замечено, что эта функция выполняется в двух случаях:
- Мошенническая схема была успешно завершена. Таким образом, жертва потеряет еще больше времени, прежде чем поймет, что произошло.
- Приложение работает в виртуальной среде. BRATA пытается предотвратить динамический анализ с помощью этой функции.
Недавняя эволюция трояна BRATA позволяет предположить, что авторы продолжают совершенствовать ее в попытке расширить спектр потенциальных целей.
Источник: https://securityaffairs.co