Le varianti stanno costellando l’era tecnologica funestata ancora dalla pandemia da Coronavirus. Varianti Covid, varianti anche nel campo del malware. Tre nel caso di Brata, un malware Android molto noto nel nostro Paese, soprattutto in ambito bancario.
I ricercatori del Cleafy hanno scoperto un’evoluzione preoccupante del trojan in questione, lanciando l’allarme. “Negli ultimi mesi – rivelano – abbiamo osservato un cambiamento nel pattern di attacco comunemente usato”.
Sta mutando il modus operandi di Brata, che ora si inserisce in un modello di attività APT, ossia Advanced Persistent Threat. “Un termine – spiegano i ricercatori del Cleafy – che viene utilizzato per descrivere una campagna di attacco in cui i criminali stabiliscono una presenza a lungo termine su una rete mirata per rubare informazioni sensibili”.
Una nuova variante Brata.A individuata nei paesi dell’Unione Europea
A rischio, chiaramente, password, credenziali, dati, in due parole: privacy e sicurezza. I Threat Actors insiti in Brata, infatti, si stanno evolvendo e ora prendono di mira un istituto finanziario specifico alla volta, cambiando la loro attenzione solo quando la vittima presa di mira inizia a implementare contromisure coerenti contro di loro. Poi, si allontanano dai riflettori, per uscire allo scoperto con un target e strategie di contagi diversi.
A prima vista, sembra essere una buona strategia con un guadagno rilevante. Tuttavia, è importante sottolineare anche le lotte e il piano necessari per applicare questo schema. “Come abbiamo evidenziato attraverso le nostre metriche – proseguono i ricercatori del Cleafy – quando esce una nuova versione ci sono anche nuove funzionalità che la rendono più pericolosa. Negli ultimi mesi è stata individuata una nuova variante Brata.A nel territorio dell’UE che si presenta come specifiche applicazioni bancarie, comprese alcune modifiche interne”.
Tre le aeree in cui si nota la variante di Brata: una nuova tecnica di phishing che ha il compito di imitare una pagina di accesso della banca presa di mira. Nuovissime classi incaricate di acquisire permessi GPS, overlay, SMS e gestione dispositivi. Sideloading di una parte di codice (seconda fase) scaricata dal suo C2 per eseguire la registrazione degli eventi.
Brata adesso può intercettare i codici OTP inviati dalla banca all’utente e scarica un secondo payload dal server C2C (command-and-control), in grado di monitorare gli eventi generati dalle applicazioni. Non solo. Il trojan bancario sta sviluppando altro malware che utilizza parti del codice del di Brata: un SMS Stealer che legge i messaggi e accede alla rubrica dello smartphone. Già, quando si parla di varianti, non si può mai dormire sonni tranquilli.