BRATAマルウェア

BRATAバンキング型トロイの木馬は、2019年にブラジルで最初に登場しました。この脅威はAndoirdデバイスを標的とし、画面キャプチャを作成し、新しいアプリケーションをインストールし、画面をオフにすることで感染したデバイスをシャットダウンしたように見せることができました。しかし、それ以来、脅威は急速に進化し、それぞれが拡張された侵入機能を備えた複数の新しいバージョンがあります。たとえば、2021年に、この脅威はヨーロッパのユーザーに対する攻撃キャンペーンで使用されました。 Infosecの研究者は、BRATAマルウェアが偽のスパム対策アプリケーションを介して拡散していることを発見しました。脅迫的な操作には、ユーザーを誘惑してデバイスを完全に制御するように仕向ける偽のサポートエージェントも含まれていました。

2022年の初めに、BRATAは、GPS追跡と複数の通信チャネルを使用してコマンドアンドコントロール（C2、C＆C）サーバーに到達することにより、さらに洗練されました。脅威はまた、工場出荷時のリセット機能を受け取り、デバイス上のデータがすでに盗み出された後、侵害されたデバイスをワイプできるようにしました。攻撃者は、標的となるユーザーの国に応じて、BRATAバージョンも調整しました。

現在、イタリアのモバイルセキュリティ会社であるCleafyのレポートによると、BRATAはさらに進化し、感染したデバイスにとどまることを目的とした永続的な脅威に変化しています。脅威の拡張機能には、SMSメッセージを送信または傍受する機能が含まれ、攻撃者がワンタイムパスワード（OTP）や2要素認証（2FA）セキュリティ対策で使用される一時的なコードを収集する機能を効果的に提供します。 BRATAは、C2から第2ステージのペイロードをフェッチすることもできます。追加のマルウェアは、「unrar.jar」パッケージを含むZIPアーカイブとしてデバイスにドロップされます。ペイロードは、実行されると、アプリケーションで生成されたイベントを監視し、それらをローカルに記録するキーロガーとして機能します。

最後に、Cleafyによって分析されたBRATAマルウェアバージョンは非常に標的にされました。実際、攻撃者は一度に1つの金融機関に焦点を合わせているようです。攻撃者は、セキュリティ対策によって前の被害者によってその努力が無力化された後にのみ、次の被害者に移動します。この動作により、サイバー犯罪者はBRATAマルウェアのフットプリントを大幅に削減することができます。結局のところ、脅威は、侵害されたデバイスにインストールされているアプリケーションのリストにアクセスして、C2から対応するインジェクションをフェッチする必要がなくなります。現在、マルウェアには1つのフィッシングオーバーレイがプリロードされており、C2トラフィックとホストデバイスで実行する必要のあるアクションを最小限に抑えています。