L'ANALISI TECNICA

BRATA, il trojan bancario Android colpisce anche l’Italia con nuove funzionalità

È stata identificata una nuova variante del trojan bancario BRATA che, grazie a funzionalità sempre più evolute, è in grado di monitorare furtivamente le attività degli utenti Android e rubare loro informazioni riservate. Ecco tutti i dettagli e le buone pratiche da seguire per difendersi

Pubblicato il 26 Gen 2022

Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

BRATA, il trojan bancario per Android, è di nuovo attivo dopo l’ultima campagna malevola dello scorso mese di dicembre 2021.

Secondo il rapporto dei ricercatori della società di sicurezza Cleafy, infatti, la telemetria sul trojan bancario ha fatto registrare un certo aumento durante l’ultimo periodo dello scorso anno con due ondate di diffusione rispettivamente nel mese di novembre e dicembre.

In particolare, nella seconda ondata i ricercatori hanno individuato delle nuove varianti del RAT (Remote Access Trojan) destinate a colpire gli utenti Android in diversi paesi d’Europa utilizzando pagine overlay personalizzate per specifiche applicazioni bancarie e carpire codici dispositivi dei clienti, presentandosi anche come presunte app di sicurezza e aggiornamenti.

Abusando delle autorizzazioni del servizio di accessibilità ottenute durante la fase d’installazione per monitorare furtivamente le attività degli utenti sui dispositivi compromessi, le nuove varianti diffuse nel Regno Unito e Polonia oltre che in Italia, Spagna, Cina e America Latina implementano anche nuove funzionalità.

Indice degli argomenti

Le varianti primarie di BRATA

Al momento, le tre principali varianti intercettate sono state identificate come variante primaria A (usata principalmente in Italia), B (simile alla A) e quella C composta da un downloader utilizzato per scaricare ed eseguire successivamente il malware vero e proprio, riuscendo ad ottenere una bassa rilevazione delle soluzioni antivirus.

“Dopo che la vittima ha installato l’app downloader, è necessario accettare solo un’autorizzazione per scaricare e installare l’applicazione dannosa da una fonte non attendibile. Quando la vittima fa clic sul pulsante d’installazione, l’app downloader invia una richiesta GET al server C2 per scaricare il file .apk dannoso. A questo punto, la vittima ha due app dannose installate sul proprio dispositivo”, si legge sul rapporto.

L’elenco delle nuove funzionalità

Come detto, BRATA si sta evolvendo non solo in termini di nuovi target da colpire ma anche in termini di nuove funzionalità:

possibilità di eseguire il ripristino delle impostazioni di fabbrica del dispositivo;
capacità di localizzazione GPS;
possibilità di utilizzare più canali di comunicazione (HTTP e TCP) tra il dispositivo e il server C2 per mantenere una connessione persistente;
capacità di monitorare continuamente l’applicazione bancaria della vittima tramite VNC e tecniche di keylogging.

Il kill switch di BRATA

Gli esperti ritengono che la funzione di ripristino delle impostazioni di fabbrica sia stata concepita come un vero e proprio kill switch per BRATA, consentendo agli attori delle minacce di eliminare eventuali tracce dopo che la compromissione è stata completata con successo o l’applicazione rilevi che è in esecuzione in una sandbox e possa essere potenzialmente soggetta a un’analisi dinamica.

In particolare, la routine di ripristino controlla una variabile “SendMsg_formatdevice” all’interno di un evento per decidere quando invocare la funzione “_wsh_formatthisdevice” deputata a eseguire il reset del dispositivo Android.

https://assets.website-files.com/60201cc2b6249b0358f70f8a/61eadff5668c5a3a1abfd223_FIG12.png

Buone pratiche per difendersi da BRATA

Dal 2019, anno in cui Kaspersky ha fatto la prima scoperta di BRATA (Brazilian RAT Android), gli attori criminali hanno sfruttato nel tempo questo trojan banking Android per eseguire frodi, tramite bonifici non autorizzati o pagamenti istantanei, utilizzando anche un’ampia rete di conti “Money Mules” in diversi paesi europei.

La recente evoluzione del RAT suggerisce ancora di più come gli sviluppatori stiano continuando a migliorare e raffinare le sue funzionalità nel tentativo di ampliare il bacino dei potenziali bersagli.

Per tutti questi motivi, il modo migliore per evitare di essere infettati dal trojan Android BRAT (e da malware simili) resta quello di considerare e applicare le seguenti buone regole:

installare app esclusivamente dal Google Play Store, evitando il download da siti web di terze parti;
scansionare sempre i siti web prima di visitarli, utilizzando strumenti antivirus disponibili online;
prestare molta attenzione alle autorizzazioni che vengono richieste durante l’installazione delle app;
monitorare lo stato della batteria e del traffico rete del dispositivo per identificare eventuali anomalie che potrebbero essere attribuiti a processi dannosi eseguiti in background;
prevedere come per i PC desktop anche per i dispositivi mobili uno strumento antivirus affidabile e completo.