martedì 5 aprile 2022
Anatomia di Brata, il Remote Access Trojan per Android diffuso in Italia

E' una presenza ricorrente, anche se non fissa, dei report settimanali con cui il CERT-AGID informa degli attacchi e delle campagne malware indivudate, analizzate e contrastate nel cyber spazio italiano. Non ha il peso di un Emotet, il malware che ormai si gode fisso il posto sul gradino più alto del podio dei malware più diffusi in Italia: sicuramente Brata è tra quelli che più spesso e con più continuità sono diffusi contro i sistemi Android.

L'ultima individuazione risale appunto alla scorsa settimana: è stato in diffusione con 3 diverse campagne a meta Banking e una a tema Avvisi di Sicurezza. E' stato diffuso via SMS contenenti un link che rimandava al download in un file in formato APK.

Vediamo qualche dettaglio in più...
Brata: il trojan bancario
Brata è un malware recente, individuato per la prima volta nel 2020 ben nascosto entro una serie di applicazioni dannose che erano riuscite a superare i controlli di sicurezza del Play Store: successivamente è stato distribuito tramite attacchi mirati di ingegneria sociale. "Risultano invece recenti" si legge nell'alert del CERT "le evidenze dell’uso di BRATA in attività italiane, il malware (APK) è sempre lo stesso ma viene ricompilato con nuovi indirizzi e pubblicizzato attraverso domini di nuova registrazione"

Ad inizio 2022 è proprio il CERT a lanciare di nuovo l'allarme su questo malware:dopo un relativo periodo di silenzio, torna in diffusione nel Dicembre 2021 e lo fa con alcune nuove varianti, migliorate e corrette.

In dettaglio, i ricercatori individuano una serie di varianti del Remote Accesso Trojan Brata pensate per colpire specificatamente utenti europei di Android. Si fa, con queste varianti, largo impiego di tecniche di ingegneria sociale: fa ricorso all'uso di pagine overlay personalizzate su specifiche app bancarie. Inoltre si presenta spesso come app fake per la sicurezza o per gli aggiornamenti dello smartphone Android. In realtà ha il solo scopo di rubare le credenziali di accesso e i codici dei clienti.

Fa largo impiego della richiesta di autorizzazione ai servizi di accessibilità, una volta concesse le quali Brata inizia ad avere ampia libertà di manovra, a partire da un attento monitoraggio delle attività del dispositivo. Non solo, grazie alla capacità di ottenere ampie permissioni, gli sviluppatori vi hanno aggiunto molteplici funzionalità dannose.

Le varianti in circolazione attualmente sono tre, una delle quali, chiamata Primaria è quella diffusa in Italia. L'immagine sotto presenta le tre versioni di Brata secondo le analisi dei ricercatori di Cleafy

Fonte: Cleafy

Le funzionalità di Brata
L'installazione di Brata è solitamente anteceduta dal download del suo downloader, di solito l'app fake appunto. A questa app basta ottenere le autorizzazioni come servizio di accessibilità per avviare il download del malware stesso. L'utente autorizza l'app, che immediatmente invia una richiesta GET al server C&C per scaricare l'APK dannoso.

Una volta installato, il RAT Brata può compiere le seguenti attività dannose:

può riportare il dispositivo alle impostazioni di fabbrica;
può localizzare tramite GPS;
monitora continuamente l'app bancaria della vittima tramite VNC e funzionalità specifiche di keylogging;
può comunicare col server C&C con più canali (HTTP e TCP): riesce così a mantenere una comunicazione costante col proprio server di comando e controllo.
La prima funzionalità, quella di ripristino alle impostazioni di fabbrica, ha lasciato non poco perplessi i ricercatori. Si ritiene che il suo scopo possa essere quello di fungere da vero e proprio kill switch: una maniera cioè di cancellare le proprie tracce dal dispositivo. Che sia una funzionalità difensiva lo conferma il fatto che questa si attiva nel caso in cui il malware rilevi di essere in esecuzione in una sandbox.

Quali rischi
Lo scopo di malware come Brata è uno solo ed ovvio: rubare denaro. Per farlo però possono impiegare svariate tecniche che vanno dalle frodi, a bonifici bancari non autorizzati, ai classici pagamenti instantanei. Tutto passa attraverso una fitta rete di conti fatti per far transitare e quindi sparire il denaro (i cosiddetti "muli").