Trojan Android BRATA Diperbarui dengan ‘Kill Switch’ yang Menghapus Perangkat

Varian baru dari trojan perbankan BRATA telah menargetkan perangkat Android global sejak November dengan fitur-fitur canggih, termasuk kemampuan untuk menghapus perangkat setelah mencuri data pengguna, perangkat pelacakan melalui GPS, dan teknik pengaburan baru, para peneliti telah menemukan.

Trojan akses jarak jauh (RAT ), yang menargetkan bank dan lembaga keuangan, kini didistribusikan melalui pengunduh untuk menghindari terdeteksi oleh solusi antivirus (AV), tulis peneliti dari perusahaan manajemen penipuan Cleafy dalam sebuah laporan yang diterbitkan Senin. Malware tersebut saat ini menargetkan bank dan lembaga keuangan di Italia, Amerika Latin, Polandia, dan Inggris, kata mereka.

Peneliti dari Kaspersky menemukan BRATA pada Januari 2019, berkembang biak melalui Google Play store dan awalnya menargetkan pengguna di Brasil. RAT menampilkan kemampuan unik dalam mengumpulkan dan menyampaikan informasi perbankan kepada operatornya secara real time.

Sejak itu, aktor di balik RAT terus menargetkan lembaga keuangan dan menambahkan kemampuan baru ke malware. Tim Cleafy telah mengidentifikasi tiga varian baru BRATA yang telah dikirimkan melalui dua gelombang sampel baru dalam beberapa bulan terakhir, para peneliti melaporkan.

“Gelombang pertama dimulai pada November 2021, dan yang kedua sekitar pertengahan Desember 2021,” para peneliti menulis. “Selama gelombang kedua, [pelaku ancaman] mulai menghadirkan beberapa varian baru BRATA yang disesuaikan di berbagai negara.”

Varian Baru, Kemampuan Wiper

Varian paling umum yang diamati oleh para peneliti adalah BRATA.A, yang memiliki dua fitur baru utama, peneliti melaporkan. Salah satunya adalah pelacakan GPS perangkat korban, kemampuan yang “tampaknya masih dalam pengembangan,” tulis para peneliti. RAT meminta izin untuk menggunakan GPS saat penginstalan, tetapi tampaknya tidak benar-benar menggunakannya selama eksekusi, kata mereka.

“Untuk alasan ini, kami dapat menebak bahwa pengembang malware meminta izin ini untuk pengembangan di masa mendatang, kemungkinan besar menargetkan orang yang dimiliki negara tertentu atau untuk mengaktifkan mekanisme pembayaran tunai lainnya (misalnya ATM tanpa kartu),” tulis mereka.

BRATA.A juga dilengkapi “saklar mematikan” yang berfungsi untuk melakukan reset pabrik perangkat dalam dua skenario, kata peneliti.

Yang pertama adalah setelah penipuan bank berhasil diselesaikan, kata mereka. “Dengan cara ini, korban akan kehilangan lebih banyak waktu sebelum memahami bahwa tindakan jahat telah terjadi,” tulis para peneliti.

Kasus kedua di mana BRATA menghapus perangkat adalah ketika aplikasi diinstal di lingkungan virtual, sebagai RAT “ mencoba untuk mencegah analisis dinamis melalui eksekusi fitur ini,” tulis para peneliti.

Varian baru kedua yang diamati oleh tim, BRATA.B, hampir identik dengan varian A kecuali untuk “kebingungan khusus pada kode dan penggunaan overlay yang disesuaikan. halaman yang digunakan untuk mencuri nomor keamanan (atau PIN) aplikasi perbankan yang ditargetkan, menurut Cleafy.

Avoiding Detection

BRATA.C adalah varian baru ketiga dan menunjukkan evolusi dalam metode yang digunakan operatornya untuk menghindari RAT terdeteksi saat dipasang oleh pengguna.

Varian menggunakan penetes awal untuk mengunduh dan menjalankan aplikasi jahat “nyata” nanti, menunjukkan cara unik yang menyimpang dari cara pelaku trojan perbankan Android lainnya mencoba menghindari deteksi oleh solusi AV, tulis para peneliti.

“Meskipun sebagian besar trojan perbankan Android mencoba mengaburkan/mengenkripsi inti malware dalam file eksternal (mis. .DEX atau .JAR), BRATA menggunakan aplikasi minimal untuk mengunduh pada langkah kedua aplikasi inti BRATA (.APK),” jelas mereka di postingan.

Setelah korban menginstal aplikasi pengunduh, itu hanya membutuhkan satu izin. untuk mengunduh dan menginstal aplikasi berbahaya dari sumber yang tidak tepercaya, kata peneliti.

“Ketika korban mengklik tombol instal, aplikasi pengunduh mengirimkan permintaan GET ke server command-and-control (C2) untuk mengunduh .APK berbahaya ,” jelas mereka. “Pada titik ini, korban memiliki dua aplikasi berbahaya yang diinstal pada perangkat mereka.”

Secara keseluruhan, temuan terbaru Cleafy menunjukkan bahwa operator BRATA bertujuan untuk memperluas cakupan target regional mereka serta berencana untuk mengembangkan malware lebih lanjut, dengan sedikit tanda akan berhenti. dalam waktu dekat, kata para peneliti.

“Kami dapat mengharapkan BRATA untuk tetap tidak terdeteksi dan terus mengembangkan fitur baru,” tulis mereka.