Android恶意软件BRATA新变种瞄准美国和西班牙

点击上方蓝字关注我们

在此次活动中，BRATA将自身伪装成安全性应用程序扫描程序。恶意软件在运行后会假装扫描所有已安装的应用程序，实际上却是在后台检查用户设备中是否安装了目标应用程序。如果检查到，它将根据用户设置的语言，提示用户安装特定的目标应用程序的虚假更新。对于将语言设置为英语的用户，BRATA将建议其安装Chrome虚假更新，并在屏幕顶部不断弹出要求用户激活辅助功能的通知：

用户单击“立即更新!”后，BRATA会在Android设置中打开主“辅助功能”选项，要求用户手动查找恶意服务，并授予其使用辅助功能的权限。当用户尝试执行此危险操作时，Android会警告向特定应用授予可访问性服务权限的潜在风险，包括该应用可以观察您的操作、从Windows检索内容，并执行轻击、滑动和捏合等手势。

用户点击“确定”后，将不在弹出新通知。此外应用程序的主图标将被隐藏，并显示“正在更新”字样的全黑屏幕，从而隐藏其在后台执行的恶意操作。

该应用程序将在后台与攻击者控制的C2服务器进行通信，从而接收下一步指令。用户在授予该应用程序在访问权限后，将进入以下界面：

该界面由恶意软件创建旨在窃取设备PIN，以在无人使用手机时利用窃取的密码解锁手机。该界面要求用户输入PIN进行验证，当输入错误时会提示密码错误，直到用户输入正确的PIN时该屏幕才会消失。

一旦恶意应用程序成功执行，并获得设备访问权限时，BRATA几乎可以在被感染的设备中执行所有操作，主要包括：

• 窃取锁屏PIN/密码/图案

• 截取设备屏幕并发送到远程服务器

• 通过滥用辅助功能与用户界面进行交互

• 使用窃取的PIN/密码/图案解锁设备

• 设置开机启动/计划任务，以打开远程服务器提供的特定活动

• 开始/停止键盘记录

• 在可编辑字段中注入由远程服务器提供的字符串

• 将铃声音量设置为0，并创建全黑屏幕以隐藏来电

• 在剪贴板中注入由远程服务器提供的字符串

BRATA恶意软件家族的早期变种仅针对巴西用户，只有当设备语言为葡萄牙语时才会执行。但是，研究人员在6月发现BRATA背后的攻击者开始增加对西班牙语和英语等其他语言的支持。BRATA将根据设备中设置的语言，发送以下三个应用之一的紧急更新提示：WhatsApp(西班牙语)，不存在的PDF阅读器(葡萄牙语)和Chrome(英语)。

除此之外，研究人员还发现攻击者在攻击目标列表中添加了一些西班牙和美国的金融应用程序。九月份，目标列表中有大约52个应用程序，但只有32个具有网络钓鱼地址。此外，最新的目标列表中所显示的20个美国银行应用程序中，只有5个具有钓鱼地址。以下是其中的一个钓鱼网站示例，当受感染的设备中存在特定的美国银行应用程序时，将会向用户显示该钓鱼网站：

应用程序哈希：

4cdbd105ab8117620731630f8f89eb2e6110dbf6341df43712a0ec9837c5a9be

d9bc87ab45b0c786aa09f964a8101f6df7ea76895e2e8438c13935a356d9116b

f9dc40a7dd2a875344721834e7d80bf7dbfa1bf08f29b7209deb0decad77e992

e00240f62ec68488ef9dfde705258b025c613a41760138b5d9bdb2fb59db4d5e

2846c9dda06a052049d89b1586cff21f44d1d28f153a2ff4726051ac27ca3ba7

URLs:

bialub[.]com

brorne[.]com

jachof[.]com

END

本文始发于微信公众号（SecTr安全团队）：Android恶意软件BRATA新变种瞄准美国和西班牙