O grupo de especialistas em segurança cibernética Cleafy diz que os hackers por trás do malware BRATA Android agora estão operando de acordo com um padrão de ameaças persistente avançadas (APTs). Em uma publicação no blog do grupo, feita na sexta-feira, 17, o Cleafy confirmou que detectou pela primeira vez três variantes principais do BRATA no final de 2021, principalmente na Grã-Bretanha, Itália e Espanha. O grupo de hackers teria então mudado seus padrões de ataque nos últimos meses.
“Os operadores de ameaças por trás do BRATA agora visam uma instituição financeira específica por vez e mudam seu foco apenas quando a vítima alvo começa a implementar contramedidas consistentes contra eles”, escreveu a equipe do Cleafy. “Então, eles se afastam dos holofotes, para apresentar um alvo e estratégias diferentes de infecções.”
O Cleafy apelidou a nova variante de malware de BRATA.A e destacou seus novos recursos em um aviso em sua postagem no blog. “Como ressaltamos por meio de nossas métricas, quando um novo lançamento é feito, também há novos recursos que o tornam mais perigoso. [A] variante BRATA.A foi detectada no território da União Europeia se passando por aplicativos bancários específicos, incluindo algumas mudanças internas.”
O primeiro desses novos recursos é uma técnica de phishing que envolve a criação e implantação de uma página de login falsa que imita o design do site do banco alvo para coletar credenciais de usuários inconscientes. “Vale a pena mencionar que, no momento em que escrevo, essa informação parece estar em desenvolvimento”, esclareceu o Cleafy. “Esta hipótese é apoiada pelo fato de que não há troca de dados entre o dispositivo da vítima e a infraestrutura de TA. ”
Em segundo lugar, o BRATA.A agora apresenta novas classes encarregadas de adquirir permissões de GPS, overlay, SMS e gerenciamento de dispositivos. Isso pode ajudar agentes mal-intencionados a obter códigos de autenticação de dois fatores (2FA) e informações de localização física necessárias para fazer login em contas bancárias.
Veja isso
Trojan para Android intercepta chamadas para suporte ao cliente
300 mil usuários do Android pegos por trojans da Play Store
“Uma vez instalado, o padrão do ataque é semelhante a outros ladrões de SMS. Isso consiste no aplicativo malicioso pedindo ao usuário para alterar o aplicativo de mensagens padrão pelo malicioso para interceptar todas as mensagens recebidas.”
Finalmente, o malware móvel agora pode carregar um pedaço de código baixado de seu C2 para realizar o log de eventos em dispositivos infectados. “[…] Esse recurso parece estar em desenvolvimento também. No entanto, nossa hipótese é que os TAs estão tentando estender a funcionalidade do malware para obter dados de outros aplicativos, abusando do Serviço de Acessibilidade”, acrescentou o Cleafy.
De acordo com os pesquisadores de segurança cibernética, o malware BRATA original foi distribuído por meio de antivírus falsos ou outros aplicativos comuns, enquanto durante as novas campanhas, assumiu a forma de um ataque APT direcionado a clientes de um determinado banco italiano.“A última tendência […] parece ser o padrão de ataque que os TAs usarão no próximo ano… Eles geralmente se concentram em fornecer aplicativos maliciosos direcionados a um banco específico por alguns meses e depois passar para outro alvo.”