Brata Bankacılık Truva atının arkasındaki tehdit oyuncusu taktiklerini geliştirdi ve kötü amaçlı yazılımları bilgi çalma yetenekleriyle geliştirdi.
İtalyan mobil güvenlik şirketi Cleafy, Brata etkinliğini izliyor ve cihazda daha uzun süre kalıcılığa yol açan en son kampanya değişikliklerinde fark edildi.
"Modus operandi artık gelişmiş bir Kalıcı Tehdit (APT) etkinlik modeline uyuyor," diye açıklıyor bu hafta bir raporda Cleafy.
"Bu terim, suçluların hassas bilgileri çalmak için hedeflenen bir ağda uzun vadeli bir varlık kurdukları bir saldırı kampanyasını tanımlamak için kullanılır."
Kötü amaçlı yazılımın kendisi de yeni kimlik avı teknikleri, cihazda ek izin almak için yeni sınıflar ile güncellendi ve şimdi komut ve kontrol (C2) sunucusundan ikinci aşamalı bir yük bırakıyor.
Brata kötü amaçlı yazılım da daha hedefleniyor, çünkü araştırmacılar bir seferde bir finansal kuruma odaklandığını ve saldırıları karşı önlemler tarafından verimsiz hale getirildiğinde sadece farklı bir kuruma odaklandığını keşfetti.
Örneğin, Brata şimdi yüklü uygulamaların bir listesini almak ve C2'den doğru enjeksiyonları almak yerine tek bir kimlik avı kaplamasıyla önceden yüklenir.
Bu, kötü amaçlı ağ trafiğini ve ana cihazla etkileşimleri en aza indirir.
Daha yeni bir versiyonda Brata, saldırganların bankaların müşterilerine gönderdiği tek seferlik şifreler (OTPS) ve iki faktörlü kimlik doğrulama (2FA) gibi geçici kodları çalmasına yardımcı olabilecek SMS göndermesine ve almasına izin veren daha fazla izin ekler.
Bir cihaza yuva yaptıktan sonra Brata, bir kavanoz ("unrar.jar") paketi içeren C2 sunucusundan bir zip arşivi getirir.
Bu KeyLogging yardımcı programı, uygulama tarafından oluşturulan olayları izler ve metin verileri ve eşleşen bir zaman damgası ile bunları yerel olarak saklar.
Cleafy'nin analistleri, bu aracın hala erken gelişimde olduğuna dair işaretler gördü ve araştırmacılar, yazarın nihai hedefinin diğer uygulamalardan veri almak için erişilebilirlik hizmetini kötüye kullanmak olduğunu düşünüyorlar.
Brata, 2019 yılında Brezilya'da bir bankacılık truva atı olarak başladı, ekran yakalama, yeni uygulamalar yükleyebilir ve cihazın güç görünmesini sağlamak için ekranı kapatabilir.
Haziran 2021'de Brata, sahte anti-spam uygulamalarını bir cazibe olarak kullanarak Avrupa'da ilk kez ortaya koydu ve kurbanları dolandıran ve onları cihazlarının tam kontrolünü vermeleri için kandıran sahte destek ajanları kullandı.
Ocak 2022'de, GPS izleme, birden fazla C2 iletişim kanalı ve farklı ülkelerdeki bankacılık müşterileri için özel versiyonlar kullanarak Wild'da Brata'nın yeni bir versiyonu ortaya çıktı. Bu sürüm ayrıca, tüm veriler çalındıktan sonra cihazları silen bir fabrika sıfırlama komutu içeriyordu.
Şimdi, yeni Brata sürümü ve taktiklerdeki değişikliğin yanı sıra, Cleafy de yeni bir proje buldu: aynı C2 altyapısıyla iletişim kuran bir SMS Stealer uygulaması.
Brata ve aynı sınıf adları ile aynı çerçeveyi kullanır, ancak sadece kısa metin mesajlarını sifonlamaya odaklanmış gibi görünmektedir. Şu anda İngiltere, İtalya ve İspanya'yı hedefliyor.
Gelen SMS'yi engellemek için, uygulama kullanıcıdan, cihazdaki kişilere erişme izni talep ederken varsayılan mesajlaşma uygulaması olarak ayarlamasını ister.
Şimdilik, bunun sadece Brata ekibinin belirli rollere ayrılmış daha basit uygulamalar oluşturma çabası üzerine bir deney olup olmadığı belirsiz.
Açık olan, Brata'nın yaklaşık iki aylık bir kadansla gelişmeye devam etmesidir. Dikkatli kalmak, cihazınızı güncel tutmak ve gayri resmi veya şüpheli kaynaklardan uygulamalar yüklemekten kaçınmak zorunludur.
Yeni Malibot Android Bankacılık Kötü Yazılım Kripto Madenci olarak yayılıyor
Google Play Store'daki Android kötü amaçlı yazılım 2 milyon indirme alıyor
SMSFactory Android Kötü Yazılım Sinsice Premium Hizmetlere Abone Oluyor
İlk 10 Android Bankacılık Trojans 1 milyar indirme ile hedef uygulamalar
Flubot Android Kötü Yazılım Operasyonu Kolluk Kuvvetleri tarafından Kapanma
Kaynak: Bleeping Computer