Око большого BRATA: ряды APT-угроз пополнило улучшенное вредоносное ПО

Операторы вредоносного ПО BRATA улучшили возможности ПО для Android-устройств, чтобы сделать свои атаки на банковские приложения более незаметными.

«Фактически, BRATA теперь работает по схеме APT-атак. В ходе APT-атаки киберпреступник устанавливает долгосрочное присутствие в целевой сети для кражи конфиденциальной информации» — говорится в отчете ИБ-компании Cleafy.

BRATA (Brazilian Remote Access Tool Android) впервые была обнаружена в Бразилии в конце 2018 года, а затем появилась в Европе в апреле 2021 года, маскируясь под антивирусное ПО и распространенные программы для повышения производительности.

В новой модели атаки BRATA одновременно поражает финансовое учреждение и переключается на другой банк только после того, как жертва начнет применять меры противодействия угрозе.

В мошеннические приложения BRATA также включены новые функции. Операторы добавили фишинговые страницы для входа в финансовое учреждение, чтобы иметь возможность:

• собрать учетные данные;
• получить доступ к SMS;
• загрузить полезную нагрузку «unrar.jar» с удаленного сервера для регистрации событий на взломанном устройстве.

«Сочетание фишинговой страницы с возможностью доступа к SMS-сообщениям жертвы может быть использовано для захвата учетной записи (Account Takeover, ATO)», — заявили исследователи.

По словам экспертов, приложение для кражи SMS направлено на пользователей в Великобритании, Италии и Испании. В ходе атаки киберпреступник может перехватить и удалить входящие сообщения от банка с одноразовыми паролями.

«Сначала вредоносное ПО маскировалось под антивирусы и распространенные приложения, а в ходе недавних кампаний ПО BRATA использовало APT-атаку на клиента итальянского банка. Обычно злоумышленники распространяют вредоносное ПО в конкретном банке в течение нескольких месяцев, а затем переходят на другую цель», — заявили исследователи.