Il malware BRATA che cancella Android diventa una minaccia persistente

L’acteur menaçant derrière le cheval de Troie bancaire BRATA a fait évoluer ses tactiques et amélioré le logiciel malveillant avec des capacités de vol d’informations.

La société italienne de sécurité mobile Cleafy a suivi l’activité BRATA et a remarqué dans les campagnes les plus récentes des changements qui entraînent une persistance plus longue sur l’appareil.

“Le modus operandi s’inscrit désormais dans un modèle d’activité de menace persistante avancée (APT)”, explique Cleafy dans un rapport cette semaine.

“Ce terme est utilisé pour décrire une campagne d’attaque dans laquelle les criminels établissent une présence à long terme sur un réseau ciblé pour voler des informations sensibles.”

Le logiciel malveillant lui-même a également été mis à jour avec de nouvelles techniques de phishing, de nouvelles classes pour demander des autorisations supplémentaires sur l’appareil, et supprime désormais également une charge utile de deuxième étape du serveur de commande et de contrôle (C2).

Campagnes ciblées

Les logiciels malveillants BRATA sont également plus ciblés, car les chercheurs ont découvert qu’ils se concentrent sur une institution financière à la fois et ne pivotent vers une autre que lorsque leurs attaques sont rendues inefficaces par des contre-mesures.

Par exemple, BRATA est désormais préchargé avec une seule superposition de phishing au lieu d’acquérir une liste des applications installées et de récupérer les bonnes injections du C2.

Cela minimise le trafic réseau malveillant et les interactions avec le périphérique hôte.

Dans une version plus récente, BRATA ajoute plus d’autorisations qui lui permettent d’envoyer et de recevoir des SMS, ce qui peut aider les attaquants à voler des codes temporaires comme les mots de passe à usage unique (OTP) et l’authentification à deux facteurs (2FA) que les banques envoient à leurs clients.

Après l’imbrication dans un appareil, BRATA récupère une archive ZIP du serveur C2 contenant un package JAR (“unrar.jar”).

Cet utilitaire d’enregistrement de frappe surveille les événements générés par l’application et les stocke localement sur l’appareil avec les données textuelles et un horodatage correspondant.

Les analystes de Cleafy ont vu des signes que cet outil en est encore à ses débuts et les chercheurs pensent que le but ultime de l’auteur est d’abuser du service d’accessibilité pour obtenir des données d’autres applications.

L’évolution BRATA

BRATA a commencé comme un cheval de Troie bancaire au Brésil en 2019, capable d’effectuer des captures d’écran, d’installer de nouvelles applications et d’éteindre l’écran pour que l’appareil apparaisse éteint.

En juin 2021, BRATA a fait sa première apparition en Europe, utilisant de fausses applications anti-spam comme leurre et employant de faux agents d’assistance qui ont fraudé les victimes et les ont trompées pour leur donner le contrôle total de leurs appareils.

En janvier 2022, une nouvelle version de BRATA est apparue dans la nature, utilisant le suivi GPS, plusieurs canaux de communication C2 et des versions personnalisées pour les clients bancaires de différents pays. Cette version comportait également une commande de réinitialisation d’usine qui effaçait les appareils après le vol de toutes les données.

Maintenant, outre la nouvelle version de BRATA et le changement de tactique, Cleafy a également trouvé un nouveau projet : une application de vol de SMS qui communique avec la même infrastructure C2.

Il utilise le même cadre que BRATA et les mêmes noms de classe, mais il semble se concentrer uniquement sur le siphonnage de messages texte courts. Actuellement, il cible le Royaume-Uni, l’Italie et l’Espagne.

Pour intercepter les SMS entrants, l’application demande à l’utilisateur de la définir comme application de messagerie par défaut tout en demandant l’autorisation d’accéder aux contacts sur l’appareil.

Pour l’instant, il n’est pas clair s’il s’agit simplement d’une expérience sur un effort de l’équipe BRATA pour créer des applications plus simples consacrées à des rôles spécifiques.

Ce qui est clair, c’est que BRATA continue d’évoluer avec une cadence d’environ deux mois. Il est impératif de rester vigilant, de garder votre appareil à jour et d’éviter d’installer des applications provenant de sources non officielles ou suspectes.