恶意软件BRATA的演变

介绍

BRATA 是一个古老的恶意软件，在近一年的时间里，攻击者进一步提高了它的性能。研究人员在之前识别了三个主要的 BRATA 变体，但是在过去几个月中，攻击者常用的攻击方式发生了变化。事实上，现在使用的攻击手法更适合高级持续威胁 (APT) 活动，在这种攻击中，攻击者会在目标网络上建立长期的持久性以窃取敏感信息。

BRATA 背后的团伙现在每次都针对指定的金融机构，并且只有在目标开始对他们的攻击做出防御后才会改变目标。然后，会提出不同的感染目标和策略。正如之前强调的那样，当新版本发布时，会有一些新增功能使其变得更加危险。过去的几个月里，发现了一个新的BRATA.A变体，冒充特定的银行应用程序，其变化包括：

• 新的网络钓鱼技术，负责模仿目标银行的登录页面；
• 新的类，负责获取 GPS、overlay、SMS 和设备管理权限；
• 侧加载从C2 下载的代码（第二阶段）来执行事件日志记录。

本文概述了这些新功能，以便弄清楚它们的用途并预测新的发展。

图 1 – 2021/2022 年BRATA 活动

BRATA 更新

正如之前提到的，攻击者正在修改代码，以使他们的恶意软件适用于指定的银行机构。与旧版的 BRATA 相比，添加了一些用于特定目的的类。

然而，在继续深入研究BRATA的特性之前，研究人员列出了上个月观察到的恶意软件的所有新功能（如图2所示）。它们中的大多数都非常具体，目的非常明确。

图 2 – BRATA 变体之间的差异

提及样本，可以观察到一个伪造传统登录页面的类，以便从目标用户那里获取凭据，并且引入了诸如startactdevmang、startactgpper、startactoverlay和startsmspermnew的类，为以后的欺诈阶段请求额外的权限（例如、设备管理、gps、覆盖、短信等）。

凭据收集攻击

通过对该样本的调查，研究人员发现BRATA配备了一个冒充一家银行的登录页面的钓鱼网站。通过这种方式，攻击者试图窃取目标的敏感信息，以便在欺诈活动的后期进行社会工程攻击。如图3所示，目标被要求输入Numero client和PIN，这些信息被银行用于常规的认证。

图 3 - BRATA 网络钓鱼页面

值得一提的是，在撰写本文时，这一部分似乎仍在开发中。此外，日志信息和本地数据库证实这些信息没有存储在设备中的某处。另一种技术与屏幕记录功能的使用有关，它可以避免存储这些信息，但是，采用这种策略需要额外的警报机制，以便正确地查看输入的所有信息。

此外，当前版本的 BRATA 在 AndroidManifest 文件中引入了两个新权限，即 RECEIVE_SMS 和 SEND_SMS。网络钓鱼页面与接收和读取目标者短信相结合，可用于执行完整的账户接管 (ATO)攻击。

图 4 – 用于创建钓鱼页面的函数

外部payload

正如前文提到的，在目标的手机上成功安装后，这个 BRATA 将从其 C2 下载一个 .zip 文件。该文件包含一个名为unrar.jar的 jar 文件。

图 5 – BRATA 外部payload

从检索到的信息来看，这个插件似乎负责监控应用程序生成的事件。更具体地说，每次文本视图发生变化时，它都会在本地数据库中存储事件文本和事件发生的日期。

图 6 – BRATA 键盘记录功能

在撰写本文时，此功能似乎也在开发中。但是，研究人员推测攻击者正在尝试扩展恶意软件的功能，从其它应用程序获取数据，滥用辅助功能服务（Accessibility Service）。

短信窃取程序

在分析近期 BRATA 活动的过程中，研究人员发现了一个可疑的应用程序连接到BRATA C2基础设施。

图 7 – SMS 窃取应用程序的检测率很低

图 8 – 在 AndroidManifest 文件中声明的权限

在分析这个可疑应用程序时，研究人员观察到其开发人员使用了与 BRATA恶意软件相同的框架，并且对不同的类使用了相同的名称（图 9）。

经过更深入的分析，可以确定攻击者使用了 BRATA 代码的某些部分来创建这个新的恶意应用程序。推测攻击者正在尝试开发新的恶意软件，或者他们只是在进行一些简单的实验来开发新的攻击方式，例如联系人或 SMS 嗅探器。

图 9 – BRATA 和 SMS 窃取程序之间的名称相似

图 10 – BRATA 和 SMS 窃取程序之间的代码相似

该恶意应用程序似乎针对三个国家：英国、意大利和西班牙。在安装阶段，它需要选择应用程序的语言。

图 11 – SMS 窃取者目标国家

一旦安装，它的攻击模式与其它 SMS 窃取程序类似。包括恶意应用程序要求用户更改默认的消息应用程序，以拦截所有传入的消息，通常用于 PSD2 区域中的银行发送的授权代码 (2FA/OTP)。

图 12 - 发送出厂重置命令

SMS 窃取程序和 BRATA 之间的相似之处也存在于网络通信中，两者都使用以下两个不同的端口和端点“/rdc”：

• 端口19999：用于通知 C2 恶意应用程序已安装在目标设备上
• 端口 18888：用于向C2发送被截获的短信

图 13 – 用于与 C2 通信的地址和端口

结论

从 2021 年 6 月开始，研究人员第一次发现 BRATA 活动时，就观察到恶意软件和攻击者使用的攻击方法的在不断演变。第一个活动是通过伪造的杀毒软件和其它常见应用程序分发的，而在此次活动期间，恶意软件开始向对某家银行的客户进行APT攻击。

后一种趋势，即所谓的“高级持续威胁”，似乎是攻击者在未来一年使用的攻击模式。他们通常会在几个月内专注于攻击指定的目标，然后再移动到另一个目标。

IoC

IoC	Description
1ae5fcbbd3d0e13192600ef05ba5640d	BRATA
69d3ce972e66635b238dc17e632474ec	SMS stealer
51[.]83[.]251[.]214	BRATA 和 SMS 窃取程序使用的  C2 服务器
51[.]83[.]225[.]224	其它 BRATA C2 服务器

原文链接：

https://www.cleafy.com/cleafy-labs/brata-is-evolving-into-an-advanced-persistent-threat

原文始发于微信公众号（维他命安全）：恶意软件BRATA的演变