Троянец-камикадзе
Эксперты компании Cleafy выявили новый вариант BRATA, RAT-троянца под ОС Android, который не только крадёт данные, но и сбрасывает настройки атакованного устройства на заводские.
Первый вариант BRATA был обнаружен в 2019 г. экспертами «Лаборатории Касперского». Вредонос, нацеленный на пользователей в Бразилии, распространялся через ссылки в WhatsApp и SMS-сообщениях. Им также были заражены приложения, каким-то образом просочившиеся в Google Play Store и неофициальные магазины приложений под Android; большая часть этих приложений выдавали себя за обновления к WhatsApp, устранявшие уязвимость CVE-2019-3568. Эта уязвимость допускала запуск произвольного кода на устройстве и использовалась для установки шпионского ПО.
Троянец в псевдообновлениях также использовался для кражи информации - в первую очередь, путём перехвата данных с виртуальных клавиатур в различных приложениях. Троянец использовал службу Android Accessibility Service для взаимодействия с другими приложениями, установленными на устройство.
Кроме этого, BRATA способен выполнять различные команды, присланные ему операторами, такие как разблокирование устройств, сбор информации о них, выключение экрана для скрытного выполнения некоторых операций, запуск любых приложений, а также самоудаления и зачистки любых следов заражения.
В декабре 2021 г. специалисты Cleafy выявили новый вариант, нацеленный на пользователей уже в Европе.
Сброс настроек
И вот теперь появился новый вариант, который способен сбрасывать настройки смартфона на заводские, то есть, удалять все пользовательские данные с него. Кроме того, BRATA способен отслеживать местоположение устройства через GPS.
Новый вариант атакует пользователей банковских приложений в Великобритании, Польше, Италии, Испании, Китае и Латинской Америке. Троянец перекрывает интерфейс приложений поддельными страницами с формами авторизации и таким образом крадёт реквизиты доступа.
Среди других функций троянца - возможность постоянно мониторить приложение через VNC и кейлоггер.
Функция сброса настроек, по сведениям экспертов, изучивших троянец, применяется в двух случаях: после окончания атаки на банковский счёт жертвы и когда BRATA обнаруживает, что находится в виртуальной среде.
«Сброс настроек даёт злоумышленникам дополнительное время на то, чтобы вывести и обналичить украденные деньги, - пользователь не сразу узнаёт, что его ограбили, и не успевает обратиться в банк вовремя, чтобы откатить транзакции злоумышленников, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Что касается виртуальной среды, то самоуничтожение вредоносов в ней - это довольно распространённый способ «застраховаться» от динамического анализа. В целом вектор эволюции этого RAT-троянца указывает на то, что он вполне может превратиться со временем во что-то куда большее, чем просто очередное средство кражи чужих денег».
Эксперты Cleafy указывают, что троянец действительно активно доразрабатывается и, скорее всего, новые функции будут продолжать появляться.
Поделиться
