恶意软件BRATA的演变

admin 2022年6月23日13:36:25安全新闻评论5 views2463字阅读8分12秒阅读模式

介绍

BRATA 是一个古老的恶意软件,在近一年的时间里,攻击者进一步提高了它的性能。研究人员在之前识别了三个主要的 BRATA 变体,但是在过去几个月中,攻击者常用的攻击方式发生了变化。事实上,现在使用的攻击手法更适合高级持续威胁 (APT) 活动,在这种攻击中,攻击者会在目标网络上建立长期的持久性以窃取敏感信息。

BRATA 背后的团伙现在每次都针对指定的金融机构,并且只有在目标开始对他们的攻击做出防御后才会改变目标。然后,会提出不同的感染目标和策略。正如之前强调的那样,当新版本发布时,会有一些新增功能使其变得更加危险。过去的几个月里,发现了一个新的BRATA.A变体,冒充特定的银行应用程序,其变化包括:

  • 新的网络钓鱼技术,负责模仿目标银行的登录页面;
  • 新的类,负责获取 GPS、overlay、SMS 和设备管理权限;
  • 侧加载从C2 下载的代码(第二阶段)来执行事件日志记录。

本文概述了这些新功能,以便弄清楚它们的用途并预测新的发展。

恶意软件BRATA的演变

图 1 – 2021/2022 年BRATA 活动


BRATA 更新

正如之前提到的,攻击者正在修改代码,以使他们的恶意软件适用于指定的银行机构。与旧版的 BRATA 相比,添加了一些用于特定目的的类。

然而,在继续深入研究BRATA的特性之前,研究人员列出了上个月观察到的恶意软件的所有新功能(如图2所示)。它们中的大多数都非常具体,目的非常明确。

恶意软件BRATA的演变

图 2 – BRATA 变体之间的差异

提及样本,可以观察到一个伪造传统登录页面的类,以便从目标用户那里获取凭据,并且引入了诸如startactdevmang、startactgpper、startactoverlay和startsmspermnew的类,为以后的欺诈阶段请求额外的权限(例如、设备管理、gps、覆盖、短信等)。


凭据收集攻击

通过对该样本的调查,研究人员发现BRATA配备了一个冒充一家银行的登录页面的钓鱼网站。通过这种方式,攻击者试图窃取目标的敏感信息,以便在欺诈活动的后期进行社会工程攻击。如图3所示,目标被要求输入Numero client和PIN,这些信息被银行用于常规的认证。

恶意软件BRATA的演变

图 3 - BRATA 网络钓鱼页面

值得一提的是,在撰写本文时,这一部分似乎仍在开发中。此外,日志信息和本地数据库证实这些信息没有存储在设备中的某处。另一种技术与屏幕记录功能的使用有关,它可以避免存储这些信息,但是,采用这种策略需要额外的警报机制,以便正确地查看输入的所有信息。

此外,当前版本的 BRATA 在 AndroidManifest 文件中引入了两个新权限,即 RECEIVE_SMS 和 SEND_SMS。网络钓鱼页面与接收和读取目标者短信相结合,可用于执行完整的账户接管 (ATO)攻击。

恶意软件BRATA的演变

图 4 – 用于创建钓鱼页面的函数


外部payload

正如前文提到的,在目标的手机上成功安装后,这个 BRATA 将从其 C2 下载一个 .zip 文件。该文件包含一个名为unrar.jar的 jar 文件。

恶意软件BRATA的演变

图 5 – BRATA 外部payload

从检索到的信息来看,这个插件似乎负责监控应用程序生成的事件。更具体地说,每次文本视图发生变化时,它都会在本地数据库中存储事件文本和事件发生的日期。

恶意软件BRATA的演变

图 6 – BRATA 键盘记录功能

在撰写本文时,此功能似乎也在开发中。但是,研究人员推测攻击者正在尝试扩展恶意软件的功能,从其它应用程序获取数据,滥用辅助功能服务(Accessibility Service)。


短信窃取程序

在分析近期 BRATA 活动的过程中,研究人员发现了一个可疑的应用程序连接到BRATA C2基础设施。

恶意软件BRATA的演变

图 7 – SMS 窃取应用程序的检测率很低

恶意软件BRATA的演变

图 8 – 在 AndroidManifest 文件中声明的权限

在分析这个可疑应用程序时,研究人员观察到其开发人员使用了与 BRATA恶意软件相同的框架,并且对不同的类使用了相同的名称(图 9)。

经过更深入的分析,可以确定攻击者使用了 BRATA 代码的某些部分来创建这个新的恶意应用程序。推测攻击者正在尝试开发新的恶意软件,或者他们只是在进行一些简单的实验来开发新的攻击方式,例如联系人或 SMS 嗅探器。

恶意软件BRATA的演变

图 9 – BRATA 和 SMS 窃取程序之间的名称相似

恶意软件BRATA的演变

图 10 – BRATA 和 SMS 窃取程序之间的代码相似

该恶意应用程序似乎针对三个国家:英国、意大利和西班牙。在安装阶段,它需要选择应用程序的语言。

恶意软件BRATA的演变

图 11 – SMS 窃取者目标国家

一旦安装,它的攻击模式与其它 SMS 窃取程序类似。包括恶意应用程序要求用户更改默认的消息应用程序,以拦截所有传入的消息,通常用于 PSD2 区域中的银行发送的授权代码 (2FA/OTP)。

恶意软件BRATA的演变

图 12 - 发送出厂重置命令

SMS 窃取程序和 BRATA 之间的相似之处也存在于网络通信中,两者都使用以下两个不同的端口和端点“/rdc”:

  • 端口19999:用于通知 C2 恶意应用程序已安装在目标设备上
  • 端口 18888:用于向C2发送被截获的短信

恶意软件BRATA的演变

图 13 – 用于与 C2 通信的地址和端口


结论

从 2021 年 6 月开始,研究人员第一次发现 BRATA 活动时,就观察到恶意软件和攻击者使用的攻击方法的在不断演变。第一个活动是通过伪造的杀毒软件和其它常见应用程序分发的,而在此次活动期间,恶意软件开始向对某家银行的客户进行APT攻击。

后一种趋势,即所谓的“高级持续威胁”,似乎是攻击者在未来一年使用的攻击模式。他们通常会在几个月内专注于攻击指定的目标,然后再移动到另一个目标。


IoC

IoC
Description
1ae5fcbbd3d0e13192600ef05ba5640d
BRATA
69d3ce972e66635b238dc17e632474ec
SMS stealer
51[.]83[.]251[.]214
BRATA 和 SMS 窃取程序使用的  C2 服务器
51[.]83[.]225[.]224
其它 BRATA C2 服务器



原文链接:
https://www.cleafy.com/cleafy-labs/brata-is-evolving-into-an-advanced-persistent-threat






原文始发于微信公众号(维他命安全):恶意软件BRATA的演变

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月23日13:36:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  恶意软件BRATA的演变 https://cn-sec.com/archives/1137446.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: