Il malware Android noto come BRATA ha aggiunto nuove e pericolose funzionalità alla sua ultima versione, tra cui il tracciamento GPS, la capacità di utilizzare più canali di comunicazione e una funzione che esegue un ripristino delle impostazioni di fabbrica sul dispositivo per cancellare tutte le tracce di attività dannose.
BRATA è stato individuato per la prima volta da Kaspersky nel 2019 come un Android RAT (strumento di accesso remoto)  rivolto principalmente agli utenti brasiliani .
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Nel dicembre 2021, un rapporto di Cleafy ha sottolineato l’emergere del malware in Europa, dove è stato visto prendere di mira gli utenti di e-banking e rubare le loro credenziali con il coinvolgimento di truffatori che si spacciavano per agenti dell’assistenza clienti bancari .
Gli analisti di Cleafy hanno continuato a monitorare BRATA per le nuove funzionalità e, in un nuovo rapporto pubblicato oggi, illustrano come il malware continua ad evolversi.
Versioni personalizzate per diversi tipi di pubblico
Le ultime versioni del malware BRATA ora prendono di mira gli utenti di e-banking nel Regno Unito, Polonia, Italia, Spagna, Cina e America Latina.
Ogni variante si concentra su banche diverse con set di overlay dedicati, lingue e persino app diverse per rivolgersi a un pubblico specifico.
Gli autori utilizzano tecniche di offuscamento simili in tutte le versioni, come avvolgere il file APK in un pacchetto JAR o DEX crittografato.
Questo offuscamento ignora con successo i rilevamenti antivirus, come illustrato dalla scansione di VirusTotal di seguito.
Nuove caratteristiche
Le nuove funzionalità  individuate dai ricercatori Cleafy nelle ultime versioni di BRATA includono la funzionalità di keylogging , che integra la funzione di cattura dello schermo esistente.
Sebbene il suo scopo esatto rimanga un mistero per gli analisti, tutte le nuove varianti hanno anche il tracciamento GPS .
Intermezzo promozionale ... continua la lettura dopo il box:
La più spaventosa delle nuove funzionalità dannose è l’esecuzione di  ripristini di fabbrica , che gli attori eseguono nelle seguenti situazioni:
- La compromissione è stata completata con successo e la transazione fraudolenta è terminata (cioè le credenziali sono state esfiltrate).
- L’applicazione ha rilevato che viene eseguita in un ambiente virtuale, molto probabilmente per l’analisi.
BRATA utilizza i ripristini di fabbrica come kill switch per l’autoprotezione, ma poiché cancellano il dispositivo, introducono anche la possibilità di una perdita improvvisa e irreversibile di dati per la vittima.
Infine, BRATA ha aggiunto nuovi canali di comunicazione per lo scambio di dati con il server C2 e ora supporta HTTP e WebSocket.
L’opzione di WebSocket offre agli attori un canale diretto ea bassa latenza, ideale per la comunicazione in tempo reale e lo sfruttamento manuale dal vivo.
Inoltre, poiché WebSockets non ha bisogno di inviare intestazioni con ogni connessione, il volume del traffico di rete sospetto viene ridotto e, per estensione, le possibilità di essere rilevato sono ridotte al minimo.
Alcuni suggerimenti per stare al sicuro
BRATA è solo uno dei tanti trojan bancari Android e RAT furtivi che circolano in natura, prendendo di mira le credenziali bancarie delle persone.
Il modo migliore per evitare di essere infettati dal malware Android è installare SOLO app dal Google Play Store, evitare APK da siti Web ombreggiati e scansionarli sempre con uno strumento AV prima di aprirli.
Durante l’installazione, presta molta attenzione alle autorizzazioni richieste ed evita di concedere quelle che sembrano non necessarie per le funzionalità principali dell’app.
Infine, monitora il consumo della batteria e i volumi di traffico di rete per identificare eventuali picchi inspiegabili che potrebbero essere attribuiti a processi dannosi in esecuzione in background.
