Il trojan bancario BRATA per Android diventa ogni giorno più potente. Abbreviazione di Strumento di accesso remoto brasiliano, Android, BRATA è in circolazione dal 2019, passando da spyware a trojan bancario. Può rubare denaro dal tuo conto bancario e spazzare via l’intero telefono per sbarazzarsi delle prove. Gli attori delle minacce dietro questo brutto programma lo hanno ora aggiornato con nuove funzionalità.
I ricercatori sulla sicurezza di Cleafy hanno scoperto una nuova variante di BRATA con classi aggiuntive in grado di eseguire funzioni specifiche su un dispositivo infetto. Secondo il nuovo rapporto, il trojan può ora ricreare la pagina di accesso di una”famosa banca italiana”e indurre gli utenti a inserire lì le proprie credenziali. Gli attori delle minacce possono quindi utilizzare le credenziali per un attacco più grande in una fase successiva. Inoltre, può intercettare i messaggi in arrivo come i codici di autenticazione a due fattori (2FA) per assumere completamente il controllo dell’account.
Gli attori delle minacce stanno anche dotando BRATA delle capacità per ottenere dati da altre app installate su un dispositivo. Può anche acquisire informazioni GPS e ottenere autorizzazioni di gestione del dispositivo. Inoltre, il trojan può eseguire il sideload di un altro codice sul dispositivo in grado di eseguire la registrazione degli eventi.
Oltre a questo, le persone dietro BRATA sembrano anche sviluppare malware Android travestito da app di messaggistica. Potrebbero avere in programma di utilizzare questa app per rubare contatti e messaggi contenenti codici 2FA e password monouso (OTP). Questa app è destinata a Regno Unito, Spagna e Italia, mentre la nuova variante di BRATA si sta diffondendo anche in Europa.
BRATA si rivolge ai clienti di una banca alla volta
Come detto in precedenza , BRATA interessa i dispositivi Android dal 2019. In quanto trojan bancario, originariamente si rivolgeva solo ai clienti delle banche brasiliane. Ma nel tempo si è diffuso anche in vari paesi europei.
Il programma entra nel dispositivo di una vittima tramite un collegamento di phishing inviato tramite messaggi fraudolenti che pretendono di provenire da una banca. Facendo clic su quel collegamento si scarica BRATA sul dispositivo, dopodiché inizia attacchi devastanti. Può rubare le credenziali bancarie online e intercettare i codici SMS 2FA, consentendo essenzialmente di trasferire denaro dal tuo account a tua insaputa.
Dopo il completamento del trasferimento, il trojan esegue un ripristino delle impostazioni di fabbrica del dispositivo per cancellare ogni prova della sua esistenza. Il ripristino delle impostazioni di fabbrica viene eseguito anche se il software di sicurezza del dispositivo rileva il trojan. In sostanza, BRATA garantisce che gli utenti non siano consapevoli della sua presenza sui loro dispositivi.
I ricercatori Cleafy hanno scoperto che BRATA prende di mira solo uno”istituto finanziario specifico”alla volta. Gli attori della minaccia passano a un’altra banca una volta che le loro vittime mirate implementano attivamente contromisure contro il trojan. A questo punto si allontanano dai riflettori. Ma tornano più forti che mai, con una nuova banca target e strategie.
“Il modus operandi ora si inserisce in un modello di attività APT (Advanced Persistent Threat). Questo termine è usato per descrivere una campagna di attacco in cui i criminali stabiliscono una presenza a lungo termine su una rete mirata per rubare informazioni sensibili”, avvertono i ricercatori.
