BRATA olarak bilinen Android kötü amaçlı yazılımı, GPS izleme, birden fazla iletişim kanalı kullanma kapasitesi ve tüm kötü amaçlı etkinlik izlerini silmek için cihazda fabrika ayarlarına sıfırlama gerçekleştiren bir işlev de dahil olmak üzere en son sürümüne yeni ve tehlikeli özellikler ekledi.
BRATA ilk olarak Kaspersky tarafından 2019’da bir Android RAT (uzaktan erişim aracı) olarak tespit edildi. ağırlıklı olarak Brezilyalı kullanıcıları hedef aldı.
Aralık 2021’de Cleafy tarafından hazırlanan bir rapor, kötü amaçlı yazılımın Avrupa’da ortaya çıktığının altını çizdi ve burada e-bankacılık kullanıcılarını hedef alıyor ve sahtekarların katılımıyla kimlik bilgilerini çalıyordu. banka müşteri destek temsilcileri olarak poz vermek.
Cleafy’deki analistler, yeni özellikler için BRATA’yı izlemeye devam ettiler ve bugün yayınlanan yeni bir raporda, kötü amaçlı yazılımın nasıl gelişmeye devam ettiğini gösteriyor.
Farklı kitleler için uyarlanmış versiyonlar
BRATA kötü amaçlı yazılımının en son sürümleri artık İngiltere, Polonya, İtalya, İspanya, Çin ve Latin Amerika’daki e-bankacılık kullanıcılarını hedefliyor.
Her varyant, belirli kitleleri hedeflemek için özel bindirme setleri, diller ve hatta farklı uygulamalarla farklı bankalara odaklanır.
Kaynak: Cleafy
Yazarlar, APK dosyasını şifreli bir JAR veya DEX paketine sarmak gibi tüm sürümlerde benzer gizleme teknikleri kullanır.
Bu gizleme, aşağıdaki VirusTotal taramasında gösterildiği gibi, virüsten koruma algılamalarını başarıyla atlar.
Kaynak: Cleafy
Bu cephede, BRATA şimdi aktif olarak cihazda AV varlığının belirtilerini arar ve veri hırsızlığı adımına geçmeden önce tespit edilen güvenlik araçlarını silmeye çalışır.
Kaynak: Cleafy
Yeni özellikler
yeni özellikler Cleafy araştırmacıları tarafından tespit edildi en son BRATA sürümlerinde şunları içerir: tuş günlüğü mevcut ekran yakalama işlevini tamamlayan işlevsellik.
Kesin amacı analistler için bir sır olarak kalsa da, tüm yeni varyantlar aynı zamanda GPS takibi.
Yeni kötü amaçlı özelliklerin en ürkütücüsü, fabrika ayarlarına sıfırlama, aktörlerin aşağıdaki durumlarda gerçekleştirdikleri:
- Uzlaşma başarıyla tamamlandı ve dolandırıcılık işlemi sona erdi (yani kimlik bilgileri sızdırıldı).
- Uygulama, büyük olasılıkla analiz için sanal bir ortamda çalıştığını algıladı.
BRATA, kendini koruma için bir kapatma anahtarı olarak fabrika sıfırlamalarını kullanır, ancak cihazı sildiklerinden, kurban için ani ve geri döndürülemez veri kaybı olasılığını da beraberinde getirir.
Kaynak: Cleafy
Son olarak, BRATA ekledi yeni iletişim kanalları C2 sunucusuyla veri alışverişi için ve artık HTTP ve WebSockets’i destekliyor.
Kaynak: Cleafy
WebSockets seçeneği, oyunculara gerçek zamanlı iletişim ve canlı manuel kullanım için ideal olan doğrudan ve düşük gecikmeli bir kanal sunar.
Ayrıca, WebSockets’in her bağlantıda başlık göndermesi gerekmediğinden, şüpheli ağ trafiği hacmi azalır ve buna bağlı olarak tespit edilme şansı en aza indirilir.
Güvende kalmanın temel yolları
BRATA, insanların bankacılık kimlik bilgilerini hedef alan, vahşi doğada dolaşan birçok Android bankacılık truva atından ve gizli RAT’lerden yalnızca biridir.
Android kötü amaçlı yazılımlarının bulaşmasını önlemenin en iyi yolu, Google Play Store’dan uygulamalar yüklemek, gölgeli web sitelerinden APK’lardan kaçınmak ve açmadan önce bunları her zaman bir AV aracıyla taramaktır.
Yükleme sırasında istenen izinlere çok dikkat edin ve uygulamanın temel işlevi için gereksiz görünen izinleri vermekten kaçının.
Kaynak: Cleafy
Son olarak, arka planda çalışan kötü amaçlı işlemlere atfedilebilecek açıklanamayan artışları belirlemek için pil tüketimini ve ağ trafiği hacimlerini izleyin.