blank

blank

O malware BRATA – acrônimo para “Brazilian Remote Access Tool – Android” (Ferramenta Brasileira de Acesso Remoto – Android) – foi detectado na “natureza selvagem”, pela primeira vez, no ano de 2019, inicialmente como spyware, evoluindo, logo em seguida, como trojan de acesso bancário móvel, sendo guindado ao estrelato de riscos cibernéticos. Cumpre ressaltar que o DCIBER.ORG citou o malware, pela primeira vez, no dia 14 de setembro de 2021, no artigo Novo Vírus Brasileiro Permite Controle Total do Smartphone. Os pesquisadores da época confirmaram 03 (três) tendências relevantes no cenário de ameaças cibernéticas que se desenvolveram no auge da pandemia de COVID-19: a) crescimento do interesse dos cibercriminosos na execução de fraudes por meio de aparelhos de telefonia móvel; b) a internacionalização das ameaças móveis brasileiras para a América Latina, Europa e Estados Unidos da América; c) a preferência dos infratores cibernéticos pelos RATs (Remote Access Trojan ou Trojan de Acesso Remoto) – malware que permite burlar os mecanismos de dupla autenticação — que usam recursos de biometria (digitais e reconhecimento facial) ou tokens digitais. As fraudes executadas por essa família de malwares ficaram conhecidas como “golpe da mão fantasma”, tendo-se em conta que, para as vítimas, havia a impressão de que o smartphone havia adquirido vida própria, abrindo e fechando recursos, configurações e, claro, operando aplicativos bancários, como se fosse a ação de uma força invisível e sobrenatural. Como todas as atividades do invasor são realizadas no dispositivo móvel da vítima, como se fosse ela a executar as transações bancárias (transferências de saldos para outras contas, pagamentos, etc.), tornou-se difícil a identificação e a localização do atacante, porquanto o trojan de acesso remoto garantia-lhe o acesso privilegiado e o anonimato.

Entretanto, como todo malware, o BRATA não está imune às medidas de prevenção, detecção, análise e resposta, por meio de atualizações dos sistemas operacionais baseados em Android, soluções antimalware, atualizações de segurança dos aplicativos bancários, etc. Não obstante, os cibercriminosos também são céleres e inovadores em se tratando de tecnologias de invasão e intrusão de dispositivos móveis, sendo capazes de atualizar os códigos maliciosos para garantir a sobrevivência e eficiência do malware. A Cleafy, empresa de segurança digital especializada em segurança móvel, vem acompanhando as campanhas da BRATA nos últimos meses. Nesse intervalo, os especialistas da Cleafy notaram mudanças nas campanhas recentes que resultaram na permanência do malware no dispositivo alvo por mais tempo. Como parte da atualização, vários novos elementos foram adicionados ao próprio malware: a) novas técnicas de phishing para garantir a instalação no dispositivo da vítima, simulando a página ou o perfil de determinada instituição bancária; b) novas classes para solicitar permissões extras; c) recurso de despejo de carga útil de segundo estágio a partir de um servidor C2. Em vez de adquirir uma lista de programas instalados e despejar injeções a partir do C2, com base nessa lista, o BRATA é pré-carregado como uma única camada de sobreposição de phishing. Isso resulta em uma redução do tráfego de dados e de atividades maliciosas na rede, diminuindo, também, as interações entre o dispositivo host e a rede. Como exposto pela equipe da Cleafy, o modus operandi empregado pelos atores que desenvolveram o BRATA, se encaixa em um padrão de atividade típica de Advanced Persistent Threat (APT). Esse termo é usado para descrever uma campanha de ataque na qual os criminosos cibernéticos estabelecem uma presença de longo prazo em uma rede direcionada para roubar informações confidenciais. Vejamos os indicadores dessa evolução.

A equipe da Cleafy observou uma classe de login que disfarça uma página de login clássica, para coletar credenciais de usuários desavisados, assim como classes como startactdevmang , startactgpper , startactoverlay e startsmspermnew foram introduzidas para solicitar permissões adicionais para fases posteriores das atividades e operações fraudulentas (por exemplo: administração de dispositivos, GPS, overlay, SMS, etc.). A versão recente do BRATA foi equipado com uma página de phishing que recria uma página de login da instituição bancária. Evidenciou-se que os operadores do BRATA estão tentando subtrair informações confidenciais das vítimas, com o propósito de realizar algum tipo de engenharia social em um estágio posterior da fraude.

Imagem extraída do site da Cleafy
Nesse print, têm-se a página original de uma instituição bancária italiana (à esquerda) e a página fraudulenta (à direita) – Fonte: Cleafy

Além disso, a versão atual do BRATA introduziu  novas permissões dentro do arquivo AndroidManifest, o RECEIVE_SMS e o SEND_SMS. A combinação da página de phishing com a possibilidade de receber e ler as mensagens em formato SMS endereçadas à vítima pode ser usada para realizar um ataque completo de Account Takeover (ATO). A versão mais recente do malware BRATA é capaz de enviar e receber mensagens SMS. Devido ao seu lançamento recente, ele vem com vários novos recursos que auxiliam os invasores, de modo relativamente fácil, na obtenção de códigos temporários do dispositivo comprometido e usá-los para execução das operações fraudulentas.

Os pesquisadores também descobriram um aplicativo de subtração de SMS, que compartilhava algum código com o malware BRATA. O aplicativo malicioso solicita que o usuário altere o aplicativo de mensagens padrão para o malicioso para interceptar as mensagens recebidas, incluindo códigos de autenticação de dois fatores ou senhas de uso único, métodos comuns de segurança empregada pelos bancos. Os agentes de ameaças por trás do BRATA visam uma instituição financeira específica por vez e mudam o foco apenas quando a vítima visada começa a implantar contramedidas consistentes contra eles. Mais tarde, os cibercriminosos se afastam dos holofotes e, em seguida, saem com um alvo e estratégias diferentes de infecções.

Constatou-se, também, que o malware foi espalhado por meio de mensagens SMS fraudulentas, que simulavam ser da instituição bancária utilizada pela vítimas, mas continha um link malicioso que resultava no download do BRATA.

Os pesquisadores verificaram que o trojan compromete os seguintes códigos enviados, pelos bancos, aos clientes (vítimas): a) Senhas de Uso Único (OTPs); b) código de autenticação de 02 (dois) fatores (2FA). Antes de ser efetivamente instalado no sistema operacional (Android), o BRATA busca um arquivo ZIP no servidor C2 que contém um pacote JAR denominado “unrar.jar”. Enquanto isso, o recurso keylogger do BRATA monitora os eventos gerados pelos aplicativos instalados no dispositivo alvo, armazenando os dados de texto junto com os carimbos de data/hora associados a tais eventos. Embora seja um trojan bancário, o BRATA é capaz de execuções várias ações, como capturas e desligamento da tela, assim como a instalação de novos aplicativos. A partir de janeiro de 2022, constatou-se que as novas versões do BRATA utilizavam rastreamento de GPS, vários canais de C2 e versões personalizadas para diferentes instituições bancárias (em diversos Países). Outrossim, um recurso de redefinição de fábrica também foi incluído na nova versão do malware, destinado a “apagar” ou “limpar” todos os dados dos dispositivos invadidos, como forma de ocultar as operações fraudulentas, impedir a recuperação dos recursos financeiros desviados pelos cibercriminosos e dificultar a realização de perícia forense. Em outros termos, o malware está equipado com ferramentas para a destruir as evidências do crime cibernético, incrementando os prejuízos experimentados pela vítima.

Fonte: Cleafy
Carga útil (payload) externa do BRATA. Fonte: Cleafy.

 

blank
Função Keylogger do BRATA – Fonte: Cleafy

 

blank
Uma vez instalado, o padrão do ataque é semelhante a outros ladrões de SMS. Isso consiste no aplicativo malicioso solicitando ao usuário que troque o aplicativo de mensagens padrão pelo malicioso para interceptar todas as mensagens recebidas, normalmente usado por bancos na área PSD2 para envio de códigos de autorização (2FA/OTP) – Fonte: Cleafy.

 

blank
Endereço e portas utilizadas para comunicação com C2 – Fonte: Clearfy

Como o BRATA está evoluindo a cada 02 (dois) meses por ano (uma taxa altíssima), os analistas de segurança recomendam que os usuários de dispositivos móveis baseados no sistema operacional Android, realizem as atualizações, mantenham-se vigilantes e evitem fazer o download e a instalação de aplicativos de fontes suspeitas. Enfatiza-se que o malware não é exclusivo do Brasil, sendo detectado em diversos países, como, por exepmlo, Inglaterra, Espanha e Itália.

Indicadores de Comprometimento:

 

IoC Descrição
1ae5fcbbd3d0e13192600ef05ba5640d BRATA
69d3ce972e66635b238dc17e632474ec ladrão de SMS
51[.]83[.]251[.]214 Servidor C2 usado por BRATA e o ladrão de SMS
51[.]83[.]225[.]224 Outro servidor BRATA C2

 

 

Fonte: https://dciber.org/novo-virus-brasileiro-permite-controle-total-do-smartphone/

Fonte: https://gbhackers.com/brata-banking-trojan/

Fonte: https://www.cleafy.com/cleafy-labs/brata-is-evolving-into-an-advanced-persistent-threat

Fonte: https://cybersafe.news/brata-android-malware-is-evolving-into-a-persistent-threat/

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor