Einer der gefürchtetsten Android-Banking-Trojaner wurde mit einem großen Upgrade entdeckt, was ihn zu einer noch größeren Bedrohung macht.
Erschwerend kommt hinzu, dass sich BRATA nicht mehr ausschließlich auf brasilianische Banken konzentriert, sondern Banken in Großbritannien sowie Spanien und Italien ins Visier genommen hat.
Untersuchungen der Cybersicherheitsexperten Cleafy zufolge wurde das brasilianische Fernzugriffstool für Android, AKA BRATA, mit neuen Methoden zum Abrufen von GPS-Standortdaten, neuen Möglichkeiten zum Senden und Empfangen von SMS-Nachrichten und neuen Möglichkeiten zum Erlangen dringend benötigter Berechtigungen beobachtet. Um das Ganze abzurunden, ist BRATA in der Lage, zusätzliche Malware einzusetzen (öffnet in neuem Tab) , mit der Möglichkeit, Ereignisse auf dem Zielendpunkt zu protokollieren (öffnet in neuem Tab) .
Es verwendet eine separate, aber verwandte App, um SMS-Nachrichten zu lesen und Zugriff auf Zwei-Faktor-Authentifizierungscodes sowie Einmalpasswörter zu erhalten. Diese App wird auch verwendet, um Kontaktdaten potenzieller Opfer in Großbritannien, Spanien und Italien zu erhalten.
Kompromittierte Geräte auf Werkseinstellungen zurücksetzen
Der Trojaner wird über Phishing-SMS-Nachrichten verbreitet, die vorgeben, von der Zielbank zu stammen, und einen Download-Link enthalten, während die gesamte Kampagne auch Phishing-Seiten enthält, die vorgeben, von den Zielbanken zu stammen.
Aber die vielleicht größte Gefahr, die von BRATA ausgeht, ist die Tatsache, dass es gelingt, die Gelder zu löschen (öffnet in neuem Tab) von einem Zielkonto oder wenn ein Antivirus entdeckt wird (öffnet in neuem Tab) Wenn Sie danach suchen, setzt BRATA das Gerät auf die Werkseinstellungen zurück und löscht alle Inhalte vom Gerät.
Die Angreifer werden zunächst einige Monate lang auf Kunden einer bestimmten Bank abzielen und dann zu einem anderen Ziel übergehen, sagten die Forscher.
„Die Vorgehensweise passt jetzt in ein Aktivitätsmuster von Advanced Persistent Threat (APT). Dieser Begriff wird verwendet, um eine Angriffskampagne zu beschreiben, bei der Kriminelle eine langfristige Präsenz in einem gezielten Netzwerk aufbauen, um vertrauliche Informationen zu stehlen“, so Cleafy sagte (öffnet in neuem Tab) .
„Bedrohungsakteure hinter BRATA zielen jetzt auf jeweils ein bestimmtes Finanzinstitut ab und ändern ihren Fokus erst, wenn das Zielopfer beginnt, konsequente Gegenmaßnahmen gegen sie umzusetzen. Dann entfernen sie sich aus dem Rampenlicht, um mit einem anderen Ziel und anderen Infektionsstrategien herauszukommen“, schloss sie.
Via: ZDNet (öffnet in neuem Tab)