Един от най-страшните банкови троянски коне за Android беше забелязан да има голяма надстройка, което го прави още по-голяма заплаха.
За да влоши нещата, BRATA вече не е фокусирана изключително върху бразилските банки, а по-скоро се е насочила към банките в Обединеното кралство, както и в Испания и Италия.
Изследвания от експерти по киберсигурност Cleafy казват, че бразилският инструмент за отдалечен достъп за Android, известен още като BRATA, е наблюдаван с нови методи за получаване на GPS данни за местоположението, нови начини за изпращане и получаване на SMS съобщения и нови начини за получаване на така необходимите разрешения. В допълнение, BRATA е в състояние да внедри допълнителен зловреден софтуер (отваря се в нов раздел) , както и с възможността за регистриране на събития в целевата крайна точка (отваря се в нов раздел) .
Той използва отделно, но свързано приложение за четене на SMS съобщения, получаване на достъп до двуфакторни кодове за удостоверяване, както и еднократни пароли. Това приложение се използва и за получаване на данни за контакт с потенциални жертви в Обединеното кралство, Испания и Италия.
Възстановяване на фабричните настройки на компрометирани устройства
Троянският кон се разпространява чрез фишинг SMS съобщения, за които се твърди, че е от целевата банка и има връзка за изтегляне, докато цялата кампания също идва с фишинг страници, преструващи се, че са от целевата банка.
Но може би най-голямата опасност, идваща от BRATA, е фактът, че ако успее да изтрие средствата (отваря се в нов раздел) от целеви акаунт или ако забележи антивирусна програма (отваря се в нов раздел) сканирайки за него, BRATA ще възстанови фабричните настройки на устройството, като изтрие цялото съдържание от устройството.
Нападателите първо ще се насочат към клиенти на конкретна банка за няколко месеца, а след това ще преминат към друга цел, казаха изследователи.
„Начинът на действие вече се вписва в модела на активност на Advanced Persistent Threat (APT). Този термин се използва за описание на кампания за атака, в която престъпниците установяват дългосрочно присъствие в целева мрежа, за да откраднат чувствителна информация“, Клийфи каза (отваря се в нов раздел) .
„Заплахите, които стоят зад BRATA, сега се насочват към конкретна финансова институция в даден момент и променят фокуса си само след като жертвата започне да прилага последователни контрамерки срещу тях. След това те се отдалечават от светлината на прожекторите, за да излязат с различна цел и стратегии за инфекции“, заключава то.
Via: ZDNet (отваря се в нов раздел)