I Threat Actors dietro Brata hanno ulteriormente migliorato le capacità di questo malware implementando più funzionalità per rendere i loro attacchi furtivi: ora prendono di mira un istituto finanziario specifico alla volta e cambiano la loro attenzione solo quando la vittima inizia a implementare le relative contromisure. Poi, si allontanano dai riflettori, per uscire allo scoperto con un target e strategie di contagi diversi.
Brata è un malware che appartiene alla categoria dei trojan bancari che è stato individuato per la prima volta nel 2019 dagli esperti di sicurezza di Kaspersky. Il suo nome deriva da “Brazilian RAT Android” in quanto all’epoca veniva utilizzato per spiare gli utenti brasiliani.
Ora il suo modus operandi si inserisce in un modello di attività APT (Advanced Persistent Threat), termine utilizzato per descrivere una campagna di attacco in cui i criminali informatici stabiliscono una presenza a lungo termine su una rete mirata per rubare informazioni sensibili.
Negli ultimi mesi gli esperti di Cleafy hanno osservato una nuova variante, con nuove funzionalità che la rendono più pericolosa, che prende di mira entità nel territorio dell’UE e che si presenta come specifiche applicazioni bancarie per imitare la pagina di accesso dell’istituto finanziario preso di mira per raccogliere credenziali, accedere ai messaggi SMS, acquisire GPS e caricare un payload di secondo stadio da un server C2 per registrare gli eventi.
L’indagine sul campione ha portato i ricercatori a scoprire che la pagina di phishing di cui BRATA è stato dotato ricrea una pagina di login di una famosa banca italiana. In questo modo, gli attori malevoli stanno cercando di sottrarre informazioni sensibili alle vittime per eseguire una sorta di ingegneria sociale in una fase successiva della frode. La vittima viene attirata a digitare Numero Cliente e PIN, informazioni che sono alla base del processo di autenticazione comunemente utilizzato dalle banche.
Un’altra tecnica è legata all’utilizzo della funzionalità di registrazione dello schermo che potrebbe evitare di memorizzare queste informazioni, tuttavia, l’adozione di questa strategia richiede meccanismi di avviso aggiuntivi per visualizzare correttamente tutti i codici digitati.
Inoltre, l’attuale versione del malware BRATA Android ha introdotto due nuove autorizzazioni le quali, in combinazione con la pagina di phishing con la possibilità per gli operatori di ricevere e leggere gli sms della vittima, potrebbero essere utilizzate per eseguire un attacco completo di Account Takeover (ATO).
I ricercatori di Cleafy hanno sottolineato che queste funzionalità sembrano essere in fase di sviluppo. Ciononostante, durante la loro analisi dell’ultima campagna BRATA, hanno individuato un’app sospetta collegata alla stessa infrastruttura BRATA C2 osservando che gli sviluppatori utilizzavano lo stesso framework utilizzato nel malware BRATA e anche gli stessi nomi per classi diverse per creare questa nuova app dannosa.
L’ipotesi dei ricercatori è che i TA stiano cercando di sviluppare nuovi tipi di malware o stiano semplicemente facendo alcuni esperimenti per creare nuovi tipi di attacchi, come la raccolta dei contatti o gli sniffer di SMS per non essere rilevati.
L’app dannosa sembra prendere di mira tre diversi paesi: Gran Bretagna, Italia e Spagna. Durante le fasi di installazione richiede di scegliere la lingua dell’app.
Una volta installata chiede all’utente di cambiare l’app di messaggistica predefinita con quella dannosa per intercettare tutti i messaggi in arrivo, tipicamente utilizzata dalle banche nell’area PSD2 per l’invio di codici di autorizzazione (2FA/OTP).
“A partire da giugno 2021, quando abbiamo intercettato per la prima volta le campagne BRATA in Italia, abbiamo osservato un’evoluzione ininterrotta sia del malware che delle metodologie di attacco utilizzate dai TA. Le prime campagne di malware sono state distribuite tramite fake antivirus o altre app comuni, mentre durante le campagne il malware sta prendendo il turno di un attacco APT contro il cliente di una specifica banca italiana. Quest’ultima tendenza, la cosiddetta ‘minaccia persistente avanzata’, sembra essere il modello di attacco che i TA utilizzeranno nel prossimo anno. Di solito si concentrano sulla fornitura di applicazioni dannose mirate a una banca specifica per un paio di mesi, e poi spostandoti su un altro obiettivo”, concludono gli esperti di Cleafy.
https://www.cleafy.com/cleafy-labs/brata-is-evolving-into-an-advanced-persistent-threat
