L’ultima versione del malware BRATA include funzionalità nuove e pericolose, come il tracciamento GPS, la possibilità di utilizzare vari canali di comunicazione e una funzione che cancella tutte le prove di attività dannose dal tuo smartphone.
BRATA (Brazilian Remote Access Tool Android), scoperto nel 2019, è un malware sviluppato per colpire i sistemi operativi Android. Il malware si è rapidamente evoluto in un Trojan bancario, combinando la capacità di controllo completo sugli smartphone compromessi con la capacità di rubare le credenziali bancarie.
Gli esperti di sicurezza informatica hanno evidenziato la prima campagna del trojan in Europa alla fine dello scorso anno, in cui è stato osservato concentrarsi sul furto di informazioni di accesso dagli utenti di e-banking. Secondo BleepingComputer, l’attacco includeva truffatori che si spacciavano per agenti dell’assistenza clienti bancari.
Gli esperti di sicurezza di Cleafy hanno tenuto d’occhio BRATA per le nuove funzionalità e un nuovo rapporto pubblicato ieri mostra come il malware si stia ancora evolvendo.
Ecco come funziona
Il Remote Access Trojan (RAT) è stato aggiornato e ora si rivolge agli utenti di e-banking nel Regno Unito, Polonia, Italia, Spagna, Cina e America Latina.
Per raggiungere un pubblico specifico, ogni versione si concentra su diversi istituti finanziari con set di overlay personalizzati, lingue e persino app diverse.
Gli sviluppatori utilizzano metodi di offuscamento simili in ogni variante, come racchiudere il file APK in un pacchetto JAR o DEX crittografato. Come mostrato di seguito, questo offuscamento evita con successo i rilevamenti antivirus.
Cosa è stato aggiunto a questo malware
La funzione di keylogging, che migliora la funzione di cattura dello schermo esistente, è una delle nuove aggiunte scoperte dai ricercatori Cleafy nelle ultime varianti BRATA. Tutte le versioni aggiornate hanno anche il tracciamento GPS, anche se gli analisti non sono sicuri a cosa serva.
Una nuova terrificante funzione dannosa è la capacità di eseguire il ripristino di fabbrica da remoto, che gli hacker utilizzano quando la compromissione è stata completata con successo e i dati sono stati rubati.