Информационная безопасность с разных точек зрения

Информационная безопасность с разных точек зрения

Новости ИБ
Мнения экспертов и регуляторов, обзоры средств защиты информации, вакансии и работа.

Новые варианты троянца BRATA для Android демонстрируют более скрытую функциональность

Мощный Android-троян BRATA приобрел новые возможности в своей последней версии. Исследователи обнаружили, что новое вредоносное ПО демонстрирует уклонение от тактики защиты от вредоносных программ.

Мощный Android-троян BRATA приобрел новые возможности в своей последней версии. Исследователи обнаружили, что новое вредоносное ПО демонстрирует уклонение от тактики защиты от вредоносных программ.

Варианты Android-троянов BRATA активны

В недавнем посте исследователи из охранной фирмы Cleafy подробно рассказали о новых вариантах трояна BRATA для Android.

BRATA развивается по двум направлениям – добавляются новые цели и новые функции:

  • Возможность выполнения сброса устройства к заводским настройкам.
  • Возможность GPS-слежения.
  • Возможность использования нескольких каналов связи ( HTTP и TCP ) между устройством и сервером для поддержания постоянного соединения.
  • Возможность непрерывного мониторинга банковского приложения жертвы с помощью методов VNC и кейлоггинга .

Новый вариант BRATA начал циркулировать в декабре прошлого года. Исследования показывают, что он распространяется через загрузчик, чтобы избежать обнаружения антивирусными решениями.

Целевой список теперь содержит дополнительные банки и финансовые учреждения в Великобритании (новый), Польше (новый), Италии и Латинской Америке.

Мониторинг банковского счета

Как и другие банковские трояны для Android, BRATA имеет собственные специальные методы для отслеживания банковских счетов и других действий жертв, выполняемых на мобильном устройстве. Через BRATA TA получат разрешения службы специальных возможностей на этапах установки, чтобы наблюдать за действиями, выполняемыми жертвой, и/или использовать модуль VNC для получения личной информации, отображаемой на экране устройства (например, баланс банковского счета, история транзакций и т. д.).

Как только ТА отправляют команду «get_screen» с C2-сервера, BRATA начинает делать скриншоты устройства жертвы и отправлять их обратно на C2-сервер по HTTP-каналу.

Дополнительный функционал, который наблюдался, — кейлоггинг . BRATA.B отслеживает нажатия клавиш всеми пользователями при посещении целевого банковского приложения.

Сброс к заводским настройкам

Согласно анализу, проведенному на новых образцах BRATA, было установлено, что реализована функция сброса до заводских настроек. Точнее, согласно полученной информации, этот механизм представляет собой аварийный выключатель для этой вредоносной программы. На самом деле также было замечено, что эта функция выполняется в двух случаях:

  • Мошенничество успешно завершено. Таким образом, жертва потеряет еще больше времени, прежде чем поймет, что произошло злоумышленное действие.
  • Приложение установлено в виртуальной среде. BRATA пытается предотвратить анализ данных посредством выполнения этой функции.

Каналы связи

Было замечено, что BRATA и его C2 используют несколько каналов для связи друг с другом. В частности, сначала приложение осуществляет связь с C2 по протоколу HTTP, а затем, если сервер находится в сети, оно принудительно переключает соединение на протокол WebSocket.

Это переключение каналов может быть оправдано тем фактом, что WebSocket является протоколом, управляемым событиями, а это означает, что он подходит для связи в реальном времени.

Таким образом, сокращение объема данных, передаваемых от C2 и его приложения, имеет решающее значение, особенно когда вы хотите скрыть данные в сети, которая может находиться под системой непрерывного мониторинга трафика.

Заключительные соображения

Этот материал призван показать, как BRATA пытается достичь новых целей и разработать новые функции. С момента его обнаружения, сделанного Karspesky в 2019 году, заинтересованные смогли собрать доказательства и отследить как используется этот банковский троян для совершения мошенничества, как правило, путем несанкционированного банковского перевода или через мгновенные платежи, используя широкую сеть счетов во многих странах Европы.

Согласно выводам, мы можем ожидать, что BRATA останется незамеченной и продолжит разработку новых функций.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Спасибо!

Теперь редакторы в курсе.