介绍
BRATA 是一个古老的恶意软件,在近一年的时间里,攻击者进一步提高了它的性能。研究人员在之前识别了三个主要的 BRATA 变体,但是在过去几个月中,攻击者常用的攻击方式发生了变化。事实上,现在使用的攻击手法更适合高级持续威胁 (APT) 活动,在这种攻击中,攻击者会在目标网络上建立长期的持久性以窃取敏感信息。
BRATA 背后的团伙现在每次都针对指定的金融机构,并且只有在目标开始对他们的攻击做出防御后才会改变目标。然后,会提出不同的感染目标和策略。正如之前强调的那样,当新版本发布时,会有一些新增功能使其变得更加危险。过去的几个月里,发现了一个新的BRATA.A变体,冒充特定的银行应用程序,其变化包括:
-
新的网络钓鱼技术,负责模仿目标银行的登录页面; -
新的类,负责获取 GPS、overlay、SMS 和设备管理权限; -
侧加载从C2 下载的代码(第二阶段)来执行事件日志记录。
本文概述了这些新功能,以便弄清楚它们的用途并预测新的发展。
BRATA 更新
正如之前提到的,攻击者正在修改代码,以使他们的恶意软件适用于指定的银行机构。与旧版的 BRATA 相比,添加了一些用于特定目的的类。
然而,在继续深入研究BRATA的特性之前,研究人员列出了上个月观察到的恶意软件的所有新功能(如图2所示)。它们中的大多数都非常具体,目的非常明确。
图 2 – BRATA 变体之间的差异
提及样本,可以观察到一个伪造传统登录页面的类,以便从目标用户那里获取凭据,并且引入了诸如startactdevmang、startactgpper、startactoverlay和startsmspermnew的类,为以后的欺诈阶段请求额外的权限(例如、设备管理、gps、覆盖、短信等)。
凭据收集攻击
通过对该样本的调查,研究人员发现BRATA配备了一个冒充一家银行的登录页面的钓鱼网站。通过这种方式,攻击者试图窃取目标的敏感信息,以便在欺诈活动的后期进行社会工程攻击。如图3所示,目标被要求输入Numero client和PIN,这些信息被银行用于常规的认证。
图 3 - BRATA 网络钓鱼页面
值得一提的是,在撰写本文时,这一部分似乎仍在开发中。此外,日志信息和本地数据库证实这些信息没有存储在设备中的某处。另一种技术与屏幕记录功能的使用有关,它可以避免存储这些信息,但是,采用这种策略需要额外的警报机制,以便正确地查看输入的所有信息。
此外,当前版本的 BRATA 在 AndroidManifest 文件中引入了两个新权限,即 RECEIVE_SMS 和 SEND_SMS。网络钓鱼页面与接收和读取目标者短信相结合,可用于执行完整的账户接管 (ATO)攻击。
图 4 – 用于创建钓鱼页面的函数
外部payload
正如前文提到的,在目标的手机上成功安装后,这个 BRATA 将从其 C2 下载一个 .zip 文件。该文件包含一个名为unrar.jar的 jar 文件。
图 5 – BRATA 外部payload
从检索到的信息来看,这个插件似乎负责监控应用程序生成的事件。更具体地说,每次文本视图发生变化时,它都会在本地数据库中存储事件文本和事件发生的日期。
图 6 – BRATA 键盘记录功能
在撰写本文时,此功能似乎也在开发中。但是,研究人员推测攻击者正在尝试扩展恶意软件的功能,从其它应用程序获取数据,滥用辅助功能服务(Accessibility Service)。
短信窃取程序
在分析近期 BRATA 活动的过程中,研究人员发现了一个可疑的应用程序连接到BRATA C2基础设施。
图 7 – SMS 窃取应用程序的检测率很低
图 8 – 在 AndroidManifest 文件中声明的权限
在分析这个可疑应用程序时,研究人员观察到其开发人员使用了与 BRATA恶意软件相同的框架,并且对不同的类使用了相同的名称(图 9)。
经过更深入的分析,可以确定攻击者使用了 BRATA 代码的某些部分来创建这个新的恶意应用程序。推测攻击者正在尝试开发新的恶意软件,或者他们只是在进行一些简单的实验来开发新的攻击方式,例如联系人或 SMS 嗅探器。
图 9 – BRATA 和 SMS 窃取程序之间的名称相似
图 10 – BRATA 和 SMS 窃取程序之间的代码相似
该恶意应用程序似乎针对三个国家:英国、意大利和西班牙。在安装阶段,它需要选择应用程序的语言。
图 11 – SMS 窃取者目标国家
一旦安装,它的攻击模式与其它 SMS 窃取程序类似。包括恶意应用程序要求用户更改默认的消息应用程序,以拦截所有传入的消息,通常用于 PSD2 区域中的银行发送的授权代码 (2FA/OTP)。
图 12 - 发送出厂重置命令
SMS 窃取程序和 BRATA 之间的相似之处也存在于网络通信中,两者都使用以下两个不同的端口和端点“/rdc”:
-
端口19999:用于通知 C2 恶意应用程序已安装在目标设备上 -
端口 18888:用于向C2发送被截获的短信
图 13 – 用于与 C2 通信的地址和端口
结论
从 2021 年 6 月开始,研究人员第一次发现 BRATA 活动时,就观察到恶意软件和攻击者使用的攻击方法的在不断演变。第一个活动是通过伪造的杀毒软件和其它常见应用程序分发的,而在此次活动期间,恶意软件开始向对某家银行的客户进行APT攻击。
后一种趋势,即所谓的“高级持续威胁”,似乎是攻击者在未来一年使用的攻击模式。他们通常会在几个月内专注于攻击指定的目标,然后再移动到另一个目标。
IoC
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
原文始发于微信公众号(维他命安全):恶意软件BRATA的演变
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论