Вредоносная программа BRATA использует сброс настроек атакованных устройств на заводские для заметания следов. Вредонос в основном нацелен на кражу денег с банковских счетов.

Троянец-камикадзе

Эксперты компании Cleafy выявили новый вариант BRATA, RAT-троянца под ОС Android, который не только крадёт данные, но и сбрасывает настройки атакованного устройства на заводские.

Первый вариант BRATA был обнаружен в 2019 г. экспертами «Лаборатории Касперского». Вредонос, нацеленный на пользователей в Бразилии, распространялся через ссылки в WhatsApp и SMS-сообщениях. Им также были заражены приложения, каким-то образом просочившиеся в Google Play Store и неофициальные магазины приложений под Android; большая часть этих приложений выдавали себя за обновления к WhatsApp, устранявшие уязвимость CVE-2019-3568. Эта уязвимость допускала запуск произвольного кода на устройстве и использовалась для установки шпионского ПО.

Троянец в псевдообновлениях также использовался для кражи информации - в первую очередь, путём перехвата данных с виртуальных клавиатур в различных приложениях. Троянец использовал службу Android Accessibility Service для взаимодействия с другими приложениями, установленными на устройство.

Новый вариант троянца BRATA под ОС Android не только крадёт данные, но и сбрасывает настройки атакованного устройства на заводские

Кроме этого, BRATA способен выполнять различные команды, присланные ему операторами, такие как разблокирование устройств, сбор информации о них, выключение экрана для скрытного выполнения некоторых операций, запуск любых приложений, а также самоудаления и зачистки любых следов заражения.

В декабре 2021 г. специалисты Cleafy выявили новый вариант, нацеленный на пользователей уже в Европе.

Сброс настроек

И вот теперь появился новый вариант, который способен сбрасывать настройки смартфона на заводские, то есть, удалять все пользовательские данные с него. Кроме того, BRATA способен отслеживать местоположение устройства через GPS.

Новый вариант атакует пользователей банковских приложений в Великобритании, Польше, Италии, Испании, Китае и Латинской Америке. Троянец перекрывает интерфейс приложений поддельными страницами с формами авторизации и таким образом крадёт реквизиты доступа.

Среди других функций троянца - возможность постоянно мониторить приложение через VNC и кейлоггер.

Функция сброса настроек, по сведениям экспертов, изучивших троянец, применяется в двух случаях: после окончания атаки на банковский счёт жертвы и когда BRATA обнаруживает, что находится в виртуальной среде.

«Сброс настроек даёт злоумышленникам дополнительное время на то, чтобы вывести и обналичить украденные деньги, - пользователь не сразу узнаёт, что его ограбили, и не успевает обратиться в банк вовремя, чтобы откатить транзакции злоумышленников, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Что касается виртуальной среды, то самоуничтожение вредоносов в ней - это довольно распространённый способ «застраховаться» от динамического анализа. В целом вектор эволюции этого RAT-троянца указывает на то, что он вполне может превратиться со временем во что-то куда большее, чем просто очередное средство кражи чужих денег».

Эксперты Cleafy указывают, что троянец действительно активно доразрабатывается и, скорее всего, новые функции будут продолжать появляться.

Роман Георгиев

Поделиться Короткая ссылка