Logiciels malveillants BRATA

Le cheval de Troie bancaire BRATA est apparu pour la première fois en 2019 au Brésil. La menace ciblait les appareils Andoird et était capable de faire des captures d'écran, d'installer de nouvelles applications et de faire apparaître l'appareil infecté en éteignant l'écran. Cependant, depuis lors, la menace a connu une évolution rapide avec plusieurs nouvelles versions qui possédaient chacune des capacités intrusives étendues. Par exemple, en 2021, la menace a été utilisée dans des campagnes d'attaque contre des utilisateurs en Europe. Les chercheurs d'Infosec ont découvert que le malware BRATA se propageait via de fausses applications anti-spam. Les opérations menaçantes incluaient même de faux agents de support qui incitaient les utilisateurs à leur fournir un contrôle total sur leurs appareils.

Début 2022, BRATA est devenu encore plus sophistiqué, grâce à l'ajout de l'utilisation du suivi GPS et de plusieurs canaux de communication pour atteindre les serveurs de commande et de contrôle (C2, C&C). La menace a également reçu une fonction de réinitialisation d'usine, lui permettant d'effacer les appareils piratés après que les données qu'ils contiennent ont déjà été exfiltrées. Les acteurs de la menace ont également adapté les versions BRATA en fonction du pays des utilisateurs ciblés.

Maintenant, un rapport de Cleafy, une société italienne de sécurité mobile, montre que BRATA a évolué, encore plus, se transformant en une menace persistante qui vise à rester sur les appareils infectés. Les fonctions étendues de la menace incluent la capacité d'envoyer ou d'intercepter des messages SMS, donnant ainsi aux attaquants la possibilité de collecter des codes temporaires, tels que des mots de passe à usage unique (OTP) et ceux utilisés sur les mesures de sécurité d'authentification à deux facteurs (2FA). BRATA peut également récupérer une charge utile de deuxième étage à partir de son C2. Le logiciel malveillant supplémentaire est déposé sur l'appareil sous la forme d'une archive ZIP contenant un package "unrar.jar". Une fois exécutée, la charge utile agit comme un enregistreur de frappe qui surveille les événements générés par l'application et les enregistre localement.

Enfin, les versions du malware BRATA analysées par Cleafy étaient extrêmement ciblées. En fait, les acteurs de la menace semblent se concentrer sur une seule institution financière à la fois. Les attaquants ne passeront à leur prochaine victime qu'après que leurs efforts auront été neutralisés par la précédente via des contre-mesures de sécurité. Ce comportement donne aux cybercriminels la possibilité de réduire considérablement l'empreinte du malware BRATA. Après tout, la menace n'aura plus besoin d'accéder à la liste des applications installées sur l'appareil piraté, puis de récupérer les injections correspondantes du C2. Désormais, le logiciel malveillant est préchargé avec une seule couche de phishing, ce qui minimise son trafic C2 et les actions qu'il doit effectuer sur l'appareil hôte.