21/06/22
Операторы вредоносного ПО BRATA улучшили возможности ПО для Android-устройств, чтобы сделать свои атаки на банковские приложения более незаметными.
«Фактически, BRATA теперь работает по схеме APT-атак. В ходе APT-атаки киберпреступник устанавливает долгосрочное присутствие в целевой сети для кражи конфиденциальной информации» — говорится в отчете ИБ-компании Cleafy.
BRATA (Brazilian Remote Access Tool Android) впервые была обнаружена в Бразилии в конце 2018 года, а затем появилась в Европе в апреле 2021 года, маскируясь под антивирусное ПО и распространенные программы для повышения производительности. Об этом пишет Securitylab.
В новой модели атаки BRATA одновременно поражает финансовое учреждение и переключается на другой банк только после того, как жертва начнет применять меры противодействия угрозе.
.png?width=674&name=content-img(110).png)
В мошеннические приложения BRATA также включены новые функции. Операторы добавили фишинговые страницы для входа в финансовое учреждение, чтобы иметь возможность:
- собрать учетные данные;
- получить доступ к SMS;
- загрузить полезную нагрузку «unrar.jar» с удаленного сервера для регистрации событий на взломанном устройстве.
«Сочетание фишинговой страницы с возможностью доступа к SMS-сообщениям жертвы может быть использовано для захвата учетной записи (Account Takeover, ATO)», — заявили исследователи.
По словам экспертов, приложение для кражи SMS направлено на пользователей в Великобритании, Италии и Испании. В ходе атаки киберпреступник может перехватить и удалить входящие сообщения от банка с одноразовыми паролями.
«Сначала вредоносное ПО маскировалось под антивирусы и распространенные приложения, а в ходе недавних кампаний ПО BRATA использовало APT-атаку на клиента итальянского банка. Обычно злоумышленники распространяют вредоносное ПО в конкретном банке в течение нескольких месяцев, а затем переходят на другую цель», — заявили исследователи.
