Un trojan bancario basato su Android noto come BRATA (abbreviazione di Brazilian RAT Android) si è evoluto per incorporare nuove tecniche di phishing e capacità di acquisire autorizzazioni per GPS, overlay, SMS e gestione del dispositivo.
L’azienda italiana di sicurezza mobile Cleafy ha riferito in un post sul blog che questi cambiamenti sono in linea con un modello di attività di minaccia persistente avanzata (APT).
“Gli attori delle minacce che si celano dietro BRATA ora prendono di mira una specifica istituzione finanziaria alla volta e cambiano il loro obiettivo solo quando la vittima bersaglio inizia a implementare contromisure coerenti contro di loro“, spiega il blog post. “A quel punto, si allontanano dai riflettori, per uscire con un obiettivo e strategie di infezione diversi“.
La nuova variante, che sta prendendo di mira l’area dell’UE spacciandosi per applicazioni bancarie specifiche, è ora in grado di eseguire la registrazione degli eventi grazie alla sua capacità di caricare lateralmente una seconda fase del malware dal suo server di comando e controllo (C2).
Capacità di bypassare l’MFA
Gli attori delle minacce che operano la nuova variante del malware (BRATA.A) stanno anche espandendo le loro capacità per includere una metodologia per aggirare potenzialmente l’autenticazione multifattoriale (MFA) basata su SMS.
La tecnica di phishing aggiornata può imitare la pagina di login di una banca mirata, parte della strategia del gruppo per acquisire informazioni personali da utilizzare successivamente per scopi di social-engineering.
“Una volta installato, lo schema dell’attacco è simile a quello di altri ruba-sms“, si legge nel post del blog. “L’applicazione dannosa chiede all’utente di cambiare l’applicazione di messaggistica predefinita con quella dannosa per intercettare tutti i messaggi in arrivo“.
La raccolta di credenziali è comune nei Trojan bancari e nel malware stealer, ma aggirare l’MFA è un po’ più complicato.
“Questa funzionalità, insieme alla capacità di BRATA di rimanere inosservato per periodi di tempo prolungati, potrebbe potenzialmente classificare gli attori della minaccia come APT“, afferma Nicole Hoffman, analista senior di intelligence sulle minacce informatiche presso Digital Shadows.
L’evoluzione di un trojan
A gennaio, Cleafy ha scoperto che il gruppo dietro BRATA manipolava il reset di fabbrica di Android per impedire alle vittime di scoprire o segnalare e impedire trasferimenti bancari illeciti. A quel punto, le campagne di malware prendevano di mira le banche italiane.
Nell’ultimo anno, BRATA è stato distribuito attraverso tecniche di sideloading, non attraverso il Google Play Store ufficiale.
Cleafy raccomanda agli utenti di prestare particolare attenzione al download di applicazioni da siti web non attendibili o ogni volta che è richiesto un SMS per installare un’applicazione.
“Tuttavia, considerando la restrizione di Android 13 per le applicazioni sideloaded, non escludiamo che in futuro BRATA possa essere distribuito anche attraverso gli store ufficiali, come altri malware famosi hanno cercato di fare negli ultimi mesi (ad esempio Sharkbot, Teabot ecc.)“.
Kaspersky ha scoperto BRATA per la prima volta nel 2019, quando si trattava di un semplice spyware rivolto agli utenti del Brasile.
