Il trojan bancario BRATA, scoperto nel 2019 da Kaspersky, continua ad imperversare online. I ricercatori di Cleafy hanno rilevato nuove varianti con funzionalità aggiuntive, tra cui il tracciamento GPS, l’uso di canali di comunicazione multipli e la cancellazione completa dei dati. Gli attacchi più recenti sono stati effettuati anche contro i clienti di banche italiane.
BRATA: evoluzione del trojan bancario
Utilizzando la telemetria, Cleafy ha individuato tre varianti di BRATA. La funzionalità principale rimane la stessa, ovvero il furto delle credenziali per l’accesso all’account bancario dell’ignara vittima attraverso app infette o siti con un aspetto simile a quello della banca. Le attività dell’utente vengono monitorate tramite i servizi di accessibilità o un modulo VNC.
BRATA scatta screenshot e registra i tasti premuti durante l’uso dell’app bancaria. I ricercatori di Cleafy hanno inoltre scoperto che le ultime versioni chiedono l’accesso al servizio di geolocalizzazione. Non è chiaro però lo scopo del tracciamento GPS. Tra le nuove funzionalità del malware c’è il factory reset. Il ripristino delle impostazioni di fabbrica è un “kill switch” che viene sfruttato per nascondere le tracce e quando il furto delle credenziali bancarie è stato completato.
Nelle nuove varianti sono stati aggiunti due canali di comunicazione con il server C2 (command and control), ovvero HTTP e WebSocket. Ovviamente parte del codice di BRATA è offuscato (cifrato). Inoltre, il malware cerca e rimuove dal dispositivo Android eventuali antivirus installati, prima di inviare i dati al server remoto.
Per evitare brutte sorprese è sempre consigliato installare app solo dal Google Play Store, non aprire nessun link ricevuto tramite SMS sospetti e prestare massima attenzione ai permessi richiesti.