Denna grymma Android-skadlig programvara torkar telefoner efter att ha stulit pengar

0
149

Liam TungSkrivet av Liam Tung, bidragsgivare Liam Tung Liam Tung Bidragsgivare

Liam Tung är en frilansande teknikjournalist på heltid som skriver för flera australiska publikationer.

Fullständig bio den 25 januari 2022 | Ämne: Säkerhet Varför hackare riktar in sig på webbservrar med skadlig programvara och hur man skyddar din Titta nu

BRATA Android-trojanen för fjärråtkomst började sitt liv som spionprogram men uppgraderades till en banktrojan och kan nu utföra en fabriksåterställning av enheten, enligt nya forskning.

Offer för Android skadlig programvara rekommenderas ofta att utföra en fabriksåterställning efter att ha rensat upp en infektion, men BRATA gör nu återställningen av en annan anledning: för att radera eventuella bevis efter att ha genomfört en olaglig banköverföring från offrets onlinebankkonto.

BRATA eller “Brazilian RAT Android” namngavs av Kaspersky-forskare 2019 eftersom det enbart riktar sig till Android-användare i Brasilien. Sedan dess har den breddat sin räckvidd till amerikanska och spanska bankvarumärken, enligt McAfee.

SE: En vinnande strategi för cybersäkerhet(ZDNet specialrapport)

Säkerhetsföretaget Cleafy analyserade tre nya BRATA-varianter och dess forskare tror att BRATAs författare använder fabriksåterställningen för att hindra offren från att upptäcka ett obehörigt banköverföringsförsök. Detta blockerar offer från att rapportera och stoppa en bedräglig transaktion.

Fabriksåterställningen fungerar som en kill switch som exekveras efter en lyckad olaglig banköverföring eller när den upptäcker analys av installerad säkerhetsprogramvara.

“Det verkar som att [hotaktörer] utnyttjar den här funktionen för att radera alla spår, direkt efter ett obehörigt banköverföringsförsök”, konstaterar Cleafy.

“På detta sätt kommer offret att förlora ännu mer tid innan du förstår att en skadlig handling hände.”

Fabriksåterställningen uppnås genom att BRATA utger sig för att vara en legitim säkerhetsapp som begär att offret ska ge den den kraftfulla Android-tillståndet “enhetsadministratör”, vilket gör att appen kan radera all data, ändra skärmlåset och ställa in lösenordsregler.

Utöver fabriksåterställningsfunktionen har BRATA nu möjlighet att övervaka offrets bankapp via VNC och genom att använda mobila tangentloggningstekniker.

Dessutom har BRATA utökat sina mål till att omfatta bankvarumärken från Storbritannien och Polen, förutom befintliga finansiella varumärken i Italien och Latinamerika.

BRATA sprids med SMS som utger sig för att vara en bank och innehåller en länk till en webbplats där offret luras att ladda ner en anti-spam-app, enligt Cleafy. Bedragarna ringer sedan offret och lurar dem att installera den trojanska bankappen, som gör att angriparen kan fånga in andrafaktorsautentiseringskoder som skickats av banken för att bedrägeri.

För att övervaka konton använder den skadliga BRATA Android appar får Android Accessibility Services-tillstånd för att se hur offren använder sina bankappar. VNC-modulerna hjälper dem att se vad som finns på bankappens skärm, som kontosaldo och transaktionshistorik. BRATA tar också skärmdumpar av offrets skärm och skickar denna information till en angriparkontrollerad server.

Säkerhet

Cybersäkerhet: 11 steg att ta när hotnivåerna ökar. Hon litade inte på sina flyttar. En enda Apple AirTag bevisade att hon hade rätt Hur tekniken är ett vapen i modern misshandel i hemmet Log4J: Microsoft upptäcker angripare som riktar sig mot SolarWinds sårbarhet Det bästa antivirusprogrammet och apparna: Håll din dator, telefon och surfplatta säker Säkerhets-TV | Datahantering | CXO | Datacenter