Operator di belakang BRATA sekali lagi menambahkan lebih banyak kemampuan ke malware seluler Android dalam upaya untuk membuat serangan mereka terhadap aplikasi keuangan lebih tersembunyi.
“Faktanya, modus operandi sekarang cocok dengan pola aktivitas Advanced Persistent Threat (APT),” kata perusahaan keamanan siber Italia Cleafy dalam sebuah laporan pekan lalu. “Istilah ini digunakan untuk menggambarkan kampanye serangan di mana penjahat membangun kehadiran jangka panjang di jaringan yang ditargetkan untuk mencuri informasi sensitif.”
Singkatan dari “Brasil Remote Access Tool Android,” BRATA pertama kali terdeteksi di alam liar di Brasil pada akhir 2018, sebelum muncul pertama kali di Eropa April lalu, sambil menyamar sebagai perangkat lunak antivirus dan alat produktivitas umum lainnya untuk mengelabui pengguna agar mengunduhnya .
Perubahan pola serangan, yang mencapai level tertinggi baru pada awal April 2022, melibatkan penyesuaian malware untuk menyerang lembaga keuangan tertentu pada suatu waktu, beralih ke bank lain hanya setelah korban mulai menerapkan tindakan pencegahan terhadap ancaman tersebut.
Juga tergabung dalam aplikasi jahat adalah fitur baru yang memungkinkannya untuk meniru halaman login lembaga keuangan untuk mengumpulkan kredensial, mengakses pesan SMS, dan melakukan sideload payload tahap kedua (“unrar.jar”) dari server jauh untuk mencatat peristiwa pada perangkat yang disusupi.
“Kombinasi halaman phishing dengan kemungkinan menerima dan membaca sms korban dapat digunakan untuk melakukan serangan Account Takeover (ATO) lengkap,” kata para peneliti.
Selain itu, Cleafy mengatakan telah menemukan sampel paket aplikasi Android terpisah (“SMSAppSicura.apk”) yang menggunakan infrastruktur command-and-control (C2) yang sama dengan BRATA untuk menyedot pesan SMS, yang menunjukkan bahwa pelaku ancaman sedang menguji metode yang berbeda untuk memperluas jangkauan mereka.
Aplikasi pencuri SMS dikatakan secara khusus memilih pengguna di Inggris, Italia, dan Spanyol, tujuannya untuk dapat mencegat dan mengekstrak semua pesan masuk yang terkait dengan kata sandi satu kali yang dikirim oleh bank.
“Kampanye pertama malware didistribusikan melalui antivirus palsu atau aplikasi umum lainnya, sementara selama kampanye malware mengambil giliran serangan APT terhadap pelanggan bank Italia tertentu,” kata para peneliti.
“Mereka biasanya fokus pada pengiriman aplikasi jahat yang ditargetkan ke bank tertentu selama beberapa bulan, dan kemudian pindah ke target lain.”