Die Betreiber hinter BRATA haben der mobilen Android-Malware wieder einmal mehr Fähigkeiten hinzugefügt, um ihre Angriffe auf Finanz-Apps noch heimlicher zu gestalten.
„Tatsächlich passt der Modus Operandi jetzt in das Aktivitätsmuster eines Advanced Persistent Threat (APT)“, so das italienische Cybersecurity-Unternehmen Cleafy in einem Bericht von letzter Woche. „Mit diesem Begriff wird eine Angriffskampagne bezeichnet, bei der Kriminelle eine langfristige Präsenz in einem bestimmten Netzwerk aufbauen, um sensible Informationen zu stehlen.
Die Abkürzung BRATA steht für „Brazilian Remote Access Tool Android“ und wurde erstmals Ende 2018 in Brasilien entdeckt, bevor sie im April letzten Jahres erstmals in Europa auftauchte, wo sie sich als Antivirensoftware und andere gängige Produktivitätstools tarnte, um Nutzer/innen zum Download zu verleiten.
Bei der Änderung des Angriffsmusters, das Anfang April 2022 einen neuen Höhepunkt erreichte, wird die Malware so angepasst, dass sie jeweils ein bestimmtes Finanzinstitut angreift und erst dann zu einer anderen Bank wechselt, wenn das Opfer Gegenmaßnahmen gegen die Bedrohung ergreift.
Die Schurken-Apps enthalten außerdem neue Funktionen, die es ihr ermöglichen, sich als die Anmeldeseite des Finanzinstituts auszugeben, um Anmeldedaten zu sammeln, auf SMS-Nachrichten zuzugreifen und eine zweite Nutzlast („unrar.jar“) von einem entfernten Server zu laden, um Ereignisse auf dem angegriffenen Gerät zu protokollieren.
„Die Kombination aus der Phishing-Seite und der Möglichkeit, die SMS des Opfers zu empfangen und zu lesen, könnte für einen kompletten Account Takeover (ATO) Angriff genutzt werden“, so die Forscher.
Außerdem fand Cleafy ein separates Android-App-Paket („SMSAppSicura.apk“), das dieselbe Command-and-Control-Infrastruktur (C2) wie BRATA nutzte, um SMS-Nachrichten auszuspähen, was darauf hindeutet, dass die Bedrohungsakteure verschiedene Methoden testen, um ihre Reichweite zu vergrößern.
Die SMS-Stealer-App hat es angeblich vor allem auf Nutzer in Großbritannien, Italien und Spanien abgesehen, um alle eingehenden Nachrichten abzufangen und zu exfiltrieren, die mit von Banken verschickten Einmalpasswörtern zu tun haben.
„Die ersten Malware-Kampagnen wurden über gefälschte Antiviren- oder andere gängige Apps verbreitet, während die Malware in diesen Kampagnen die Form eines APT-Angriffs gegen die Kunden einer bestimmten italienischen Bank annimmt“, so die Forscher.
„Sie konzentrieren sich in der Regel darauf, einige Monate lang bösartige Anwendungen für eine bestimmte Bank zu verbreiten, um dann zu einem anderen Ziel zu wechseln.