BRATA Android恶意软件获得高级移动威胁功能

BRATA背后的运营商再次为Android移动恶意软件添加了更多功能，试图让他们对金融应用程序的攻击更加隐蔽。

意大利网络安全公司Cleafy上周在一份报告中表示：“事实上，这种做法现在符合高级持续威胁（APT）活动模式。”。“此术语用于描述犯罪分子在目标网络上建立长期存在以窃取敏感信息的攻击活动。”

BRATA是“巴西远程访问工具Android”的首字母缩写，于2018年底在巴西首次在野外被发现，去年4月首次出现在欧洲，当时它伪装成防病毒软件和其他常见的生产工具，诱骗用户下载。

攻击模式的变化在2022年4月初创下新高，涉及到修改恶意软件以一次攻击特定的金融机构，只有在受害者开始实施针对威胁的对策后，才会切换到其他银行。

rogue应用程序中还集成了一些新功能，使其能够模拟金融机构的登录页面来获取凭据、访问SMS消息，并从远程服务器旁加载第二阶段负载（“unrr.jar”），以记录受损设备上的事件。

研究人员表示：“将网络钓鱼页面与接收和阅读受害者短信的可能性相结合，可以用来执行完整的账户接管（ATO）攻击。”。

此外，Cleafy表示，它还发现了一个单独的Android应用程序包示例（“SMSAppSicura.apk”），它使用与BRATA相同的指挥与控制（C2）基础设施来虹吸短信，这表明威胁行为体正在测试不同的方法来扩大其影响范围。

据称，短信窃取应用专门针对英国、意大利和西班牙的用户，其目标是能够拦截和过滤所有与银行发送的一次性密码相关的传入消息。

研究人员说：“第一次恶意软件活动是通过假冒的防病毒软件或其他常见应用程序进行的，而在活动期间，恶意软件轮流对某家意大利银行的客户进行APT攻击。”。

“他们通常专注于将恶意应用程序交付给特定银行几个月，然后转移到另一个目标。”