O trojan bancário BRATA Android está ficando mais poderoso a cada dia. Abreviação de Brazilian Remote Access Tool, Android, BRATA existe desde 2019, passando de spyware a um trojan bancário. Ele pode roubar dinheiro da sua conta bancária e eliminar todo o telefone para se livrar das evidências. Os agentes de ameaças por trás desse programa desagradável agora o atualizaram com novos recursos.
Os pesquisadores de segurança da Cleafy descobriu uma nova variante do BRATA com classes adicionais que podem executar funções específicas em um dispositivo infectado. De acordo com o novo relatório, o trojan agora pode recriar a página de login de um “famoso banco italiano” e enganar os usuários para inserir suas credenciais lá. Os agentes de ameaças podem usar as credenciais para um ataque maior em um estágio posterior. Além disso, ele pode interceptar mensagens recebidas, como códigos de autenticação de dois fatores (2FA) para assumir o controle completo da conta.
Os agentes de ameaças também estão equipando o BRATA com recursos para obter dados de outros aplicativos instalados em um dispositivo. Ele também pode adquirir informações de GPS, além de obter permissões de gerenciamento de dispositivos. Além disso, o trojan pode carregar outro código no dispositivo que pode realizar o registro de eventos.
Além disso, as pessoas por trás do BRATA também parecem estar desenvolvendo malware para Android disfarçado de aplicativo de mensagens. Eles podem estar planejando usar este aplicativo para roubar contatos, bem como mensagens contendo códigos 2FA e senhas de uso único (OTP). Este aplicativo é direcionado ao Reino Unido, Espanha e Itália, enquanto a nova variante do BRATA também está se espalhando pela Europa.
O BRATA tem como alvo clientes de um banco por vez
Como dito anteriormente , o BRATA afeta os dispositivos Android desde 2019. Como um trojan bancário, originalmente visava apenas clientes de bancos brasileiros. Mas, com o tempo, também se espalhou por vários países europeus.
O programa entra no dispositivo da vítima por meio de um link de phishing enviado por meio de mensagens fraudulentas supostamente de um banco. Clicar nesse link faria o download do BRATA no dispositivo, após o qual iniciaria ataques devastadores. Ele pode roubar credenciais bancárias on-line e interceptar códigos SMS 2FA, essencialmente permitindo que ele transfira dinheiro de sua conta sem o seu conhecimento.
Após a conclusão da transferência, o trojan executa uma redefinição de fábrica do dispositivo para eliminar qualquer evidência de sua existência. A redefinição de fábrica também é realizada se o software de segurança do dispositivo detectar o trojan. Essencialmente, o BRATA garante que os usuários permaneçam inconscientes de sua presença em seus dispositivos.
Pesquisadores do Cleafy descobriram que o BRATA tem como alvo apenas uma “instituição financeira específica” por vez. Os agentes de ameaças mudam para outro banco assim que suas vítimas-alvo implementam ativamente contramedidas contra o trojan. Neste ponto, eles se afastam dos holofotes. Mas eles voltam mais fortes do que nunca, com um novo banco-alvo e estratégias.
“O modus operandi agora se encaixa em um padrão de atividade de Ameaça Persistente Avançada (APT). Esse termo é usado para descrever uma campanha de ataque na qual os criminosos estabelecem uma presença de longo prazo em uma rede direcionada para roubar informações confidenciais”, alertam os pesquisadores.
