BRATA Android uzaktan erişim truva atı (RAT) İtalya’da görüldü, tehdit aktörleri SMS saldırılarının kurbanlarını çevrimiçi bankacılık kimlik bilgilerini çalmak için arıyor.
Şu anda dolaşımda olan varyant yenidir ve Cleafy’deki araştırmacılar tarafından hazırlanan bir rapora göre, AV tarayıcılarının büyük çoğunluğu tarafından fark edilmeden geçebilir.
BRATA daha önce Brezilya’da görüldü, Google Play Store’daki uygulamalar aracılığıyla teslim edilir, ancak yazarlarının şimdi yabancı operatörlere sattığı görülmektedir, bu da olağandışı değil bu alanda.
Sahte istenmeyen posta önleme uygulamaları kullanma
İtalyan kampanyası ilk olarak Haziran 2021’de görüldü ve SMS kimlik avı yoluyla birden fazla Android uygulaması sundu, aksi takdirde smishing olarak biliniyordu.
Kötü amaçlı uygulamaların çoğu “Sicurezza Dispositivo” (Cihaz Güvenliği) olarak adlandırıldı ve istenmeyen posta önleme araçları olarak tanıtıldı.
Bu ilk dalga AV algılamasında başarısız oldu, Virüs Toplamında% 50 gizlilik oranına sahip. Bu yüksek algılama oranları, Ekim ortasında son derece düşük algılama oranlarına sahip yeni bir varyant kullanarak ikinci bir dalgaya yol açtı.
İkinci dalgada, aktörler hedef alma kapsamlarını genişleterek hedeflenen finans enstitülerini birden üçe yükselttiler.
El emeği gerekli
Saldırı, kötü amaçlı bir web sitesini bağlayan istenmeyen bir SMS metniyle başlar. Bu metin, bankadan alıcıyı istenmeyen posta önleme uygulaması indirmeye çağıran bir mesaj olduğunu iddia ediyor.
Bağlantı, kurbanın BRATA kötü amaçlı yazılımını kendilerinin indirdiği veya bankacılık kimlik bilgilerini girmek için bir kimlik avı sayfasına götürdüğü bir sayfaya yol açar.
Bu adım sırasında, tehdit aktörleri kurbanı telefonla arar ve bankanın bir çalışanı gibi davranarak uygulamayı yükleme konusunda yardım sunar.
Uygulama, aktörün erişilebilirlik hizmetleri de dahil olmak üzere güvenliği ihlal edilen cihazın tüm kontrolünü ele almasını, SMS görüntülemesini ve göndermesini, telefon görüşmeleri yapmasını ve ekran kaydı gerçekleştirmesini sağlamak için birden fazla izin gerektirir.
BRATA’nın yeteneklerinin tam listesi şunları içerir:
- SMS iletilerini ele geçirin ve bir C2 sunucusuna iletin. Bu özellik, giriş aşamasında banka tarafından SMS ile 2FA gönderilmesini sağlamak veya para işlemlerini onaylamak için kullanılır.
- Kötü amaçlı yazılımın ekranda görüntülenen hassas bilgileri yakalamasını sağlayan ekran kaydı ve döküm özellikleri. Buna ses, parolalar, ödeme bilgileri, fotoğraf ve mesajlar dahildir. Erişilebilirlik Hizmeti aracılığıyla, kötü amaçlı yazılım otomatik olarak “şimdi başlat” düğmesini (açılır pencerenin) tıklar, böylece kurban sahip olunan cihazın kaydını / dökümlerini reddedemez.
- Algılamayı azaltmak için güvenliği ihlal edilmiş cihazdan kendini çıkarın.
- Belirli uygulamaları (ör. virüsten koruma yazılımı) kaldırın.
- İleri düzey kullanıcılar tarafından daha az izlenebilir olmak için kendi simge uygulamasını gizleyin.
- Google tarafından şüpheli uygulama olarak işaretlenmemek için Google Play Protect’i devre dışı bırakın.
- Daha fazla ayrıcalık elde etmek için cihaz ayarlarını değiştirin.
- Gizli bir pim veya desenle kilitlenmişse cihazın kilidini açın.
- Kimlik avı sayfasını görüntüleyin.
- Virüslü cihazın ekranında gösterilen her şeyi okumak veya ekranda tıklamaları (dokunmaları) simüle etmek için erişilebilirlik hizmetini kötüye kullanın. Bu bilgiler daha sonra saldırganların C2 sunucusuna gönderilir.
Aktörler, kurbanın banka hesabına erişmek, 2FA kodunu almak ve sonunda hileli işlemler yapmak.
Bu kampanyada aracı nokta olarak kullanılan katır hesapları İtalya, Litvanya ve Hollanda merkezlidir.
Güvende kalın
Bu bir mobil kampanya olduğundan, masaüstü kullanıcıları hedefleme kapsamını potansiyel kurbanlara daraltmak için enfeksiyonlardan hariç tutulur.
SMS’te bulunan bağlantıyı bir PC veya dizüstü bilgisayarda açmaya çalışırsanız, web sitesi görüntülenemez. Bu, gelen iletilerin geçerliliğini onaylamak için basit bir kontrol yöntemidir.
İkincisi, hiçbir banka Play Store / App Store’da bulunan ve bankanın resmi web sitesinden bağlanan resmi e-bankacılık uygulaması dışında herhangi bir uygulama yüklemeyi önermez.
Son olarak, bir uygulamayı her yüklediğinizde, istenen izin türüne dikkat edin ve uygulamanın functi ile ilgisini göz önünde bulundurunonality. Bir uygulama işlevselliğiyle ilgisi olmayan çok fazla izin istiyorsa uygulamayı yüklemeyin.