На малициозен софтвер BRATA за Androd му беа дадени нови функции, очигледно со цел нападите врз банкарските апликации да бидат поневидливи.
„Modus operandi сега се вклопува во моделот на напредни активности за трајна закана (APT)“, се вели во извештајот на италијанската компанија за сајбер безбедност Cleafy. „Овој термин се користи за да се опише кампања за напад во која криминалците воспоставуваат долгорочно присуство на целна мрежа за да украдат чувствителни информации“.
BRATA е акроним за „Бразилска алатка за далечински пристап за Android“. Малверот првпат беше откриен во Бразил на крајот на 2018 година, за да се појави во Европа минатиот април, маскиран како антивирусен софтвер и други апликации кои служеа како мамка за жртвите.
Промената на моделот на нападот, кој достигна нови максимуми на почетокот на април 2022 година, вклучува прилагодување на малициозен софтвер за напад на одредена финансиска институција и префрлување на друга банка само откако ќе почнат да се применуваат контрамерки против заканата.
Новите функции му дозволуваат на малициозниот софтвер да имитира страница за најава на банка за да собира акредитиви, да пристапува до СМС пораки и да вчита злонамерен код од втората фаза („unrar.jar“) од далечински сервер за да снима настани на компромитиран уред.
„Комбинацијата на фишинг-страница со можност за примање и читање текстуални пораки од жртвата може да се искористи за напад за целосно преземање на сметката“, велат истражувачите.
Дополнително, од Cleafy велат дека пронашле примерок од малициозен софтвер („SMSAppSicura.apk“) кој ја користи истата командна и контролна инфраструктура (C2) како и BRATA за извлекување СМС пораки, што покажува дека напаѓачите тестираат различни методи за да го прошират својот дофат.
Оваа апликација за кражба на СМС моментално конкретно ги таргетира корисниците во ОК, Италија и Шпанија, а целта на малициозниот софтвер е да ги пресретне и филтрира сите дојдовни пораки поврзани со еднократните лозинки испратени од банките.