Una recente analisi di Cleafy rileva ulteriori cambiamenti nel modus operandi di BRATA, uno dei più noti malware per smartphone che colpisce dispositivi Android e ormai ben noto anche in Europa tra Regno Unito, Spagna e Italia. Il gruppo criminale dietro queste operazioni devia verso attacchi mirati contro le app di un unico istituto bancario alla volta e di tipologia persistente (APT, Advanced Persistent Threath).
Questo nuovo rapporto conferma, dunque, la natura evolutiva del noto trojan bancario.
Indice degli argomenti
Le evoluzioni continue del malware BRATA
Cleafy, società di sicurezza informatica e gestione delle frodi, con sede a Milano, segue da tempo le vicende che si susseguono dietro al trojan bancario BRATA, nato in Brasile nel 2019 come “Brasilian RAT Android” e diffuso dal giugno 2021 anche in Europa. Si tratta di un software malevolo in grado di rubare denaro dai conti correnti delle vittime, accedendo alle app bancarie installate sul dispositivo compromesso.
Nel suo nuovo rapporto, la società di sicurezza afferma di aver rilevato ulteriori cambiamenti nelle tecniche di attacco utilizzate dagli operatori criminali dietro questo software. “Il modus operandi ora si inserisce in un modello di attività APT (Advanced Persistent Threat)”, spiega per l’appunto Cleafy.
Ecco le nuove funzioni aggiunte in BRATA da gennaio ad aprile 2022:
Lo stato attuale del trojan bancario
Secondo i ricercatori, il malware BRATA ora lavorerebbe per lo più in maniera mirata, in quanto si concentra su un istituto finanziario alla volta, passando poi al successivo solo quando le difese (evidentemente messe in atto dalla vittima) rendono gli attacchi inefficaci.
Di conseguenza, il livello di traffico di rete dannoso e le interazioni con il dispositivo host si riducono, proprio per il fatto che vengono ridotti gli scambi tra vittima e server C2 (comando e controllo).
BRATA è stato inoltre aggiornato per consentire di trasmettere e ricevere SMS, aiutando gli aggressori a rubare codici temporanei come password monouso (OTP, One-Time Password) e autenticazione a due fattori (2FA) che le banche forniscono ai propri clienti.
La catena di infezione del malware
Come già noto dalle prime analisi di questo RAT, l’infezione di uno smartphone Android avviene mediante l’installazione di app di terze parti, provenienti da fonti non ufficiali e sconosciute, con all’interno la concessione di autorizzazioni decisamente invasive.
Dopo la compromissione di un dispositivo Android, BRATA scarica un archivio ZIP contenente un pacchetto JAR (“unrar.jar”) dal server C2. Questo keylogger tiene traccia degli eventi generati dall’app e li salva localmente sul dispositivo, insieme a dati di testo e un timestamp.
La generazione della schermata di phishing (come mostrato in figura qui sotto) insieme alla funzionalità di furto degli SMS della vittima, al fine di carpirne i codici OTP, rende BRATA il candidato migliore per operare un attacco completo ai danni dei conti correnti presi di mira.
BRATA è specializzato anche nel furto degli SMS
Per operare questa nuova funzionalità, BRATA, come altri SMS stealers, invita la vittima a sostituire la app di gestione della messaggistica impostata di default nel sistema Android compromesso, così da sostituire la app legittima con quella compromessa. A quel punto la app compromessa non farà altro che comunicare gli SMS in entrata al C2 gestito dai criminali.
In questa immagine, sempre oggetto di indagine di Cleafy, vengono esposti dettagli di somiglianza tra la nuova app gestita da BRATA per gli SMS della vittima e SMS stealer già noto alle cronache di sicurezza informatica.
La compromissione di un dispositivo mobile, in questo caso Android, ha un effetto che impatta su molteplici settori della vita quotidiana di ogni persona. Attualmente infatti affidiamo grandi quantità di dati e di azioni sensibili a questi dispositivi, sempre alla nostra portata e inseparabili. La prevenzione in questo caso è d’obbligo, proprio vista la sensibilità con la quale questi dati (nostri personali) andrebbero trattati.
Nei dispositivi Android, la prima regola per una buona pratica di prevenzione è quella di non installare app da fonti non ufficiali, o scaricate da terze parti come siti web o ricevuti da chat Telegram o ancora via e-mail. In secondo luogo bisogna necessariamente prestare una certa attenzione al phishing. Sempre più massivo, invasivo e presente nella nostra quotidianità, spesso non individuato per cui pericoloso.
