LES CHERCHEURS AFFIRMENT QUE BRATA S’EST TRANSFORMÉ EN MENACE PERSISTANTE AVANCÉE

Posté le juin 21, 2022 à 8:16

LES CHERCHEURS AFFIRMENT QUE BRATA S’EST TRANSFORMÉ EN MENACE PERSISTANTE AVANCÉE

La société de cybersécurité Clearfy a déclaré que les hackers responsables du logiciel malveillant Android BRATA ont commencé à opérer en tant que groupe de menace persistante avancée (APT).
Selon le rapport des chercheurs dans un billet de blog, ils ont d’abord découvert trois variantes principales de BRATA en décembre de l’année dernière, principalement en Espagne, en Italie et en Grande-Bretagne. Mais les acteurs de la menace ont changé leurs modèles d’attaque depuis lors.

Le logiciel malveillant cible désormais des institutions financières sélectionnées

L’équipe Clearfy a averti que les hackers à l’origine du logiciel malveillant BRATA ciblent désormais des institutions financières sélectionnées à la fois, et se détournent vers d’autres cibles lorsque leur cible actuelle commence à fournir des mesures de résistance aux menaces pour combattre leurs activités. Ensuite, ils s’éloignent des projecteurs et reprennent avec des stratégies et des cibles différentes pour infecter des systèmes plus vulnérables. Cleafy a fourni des détails sur la nouvelle variante du logiciel malveillant BRATA dans le blog.

L’équipe de sécurité a noté que le logiciel malveillant BRATA est régulièrement mis à jour pour le rendre unique et plus difficile à repérer. Lorsque les hackers publient une nouvelle mise à jour, celle-ci est accompagnée d’une nouvelle fonctionnalité qui la rend plus dangereuse. La variante BRATA a déjà été repérée dans les territoires de l’UE, se faisant passer pour des applications bancaires après avoir effectué quelques modifications internes.

Le logiciel malveillant vole les informations des utilisateurs

L’une des caractéristiques est une technique de phishing qui permet au logiciel malveillant de créer et de déployer une fausse page de connexion pour imiter le design du site Web de la banque ciblée. Ces pages sont conçues pour voler les informations d’identification des utilisateurs crédules.

Cependant, Clearfy a déclaré que la fonctionnalité n’était pas encore totalement au point au moment de la rédaction du rapport. Cela signifie que le logiciel malveillant peut avoir développé cette fonctionnalité, ce qui le rend encore plus persistant et dangereux.

Pour l’instant, les chercheurs ont noté qu’il n’y a pas d’échange de données entre l’infrastructure TA et l’appareil victime.

Une autre caractéristique notable que les chercheurs ont découverte est la charge permettant d’obtenir des SMS, des superpositions, des GPS et des solutions de gestion des appareils. Cela peut aider les acteurs de la menace à acquérir des codes d’authentification à deux facteurs (2FA) ainsi que des informations sur la localisation physique. Cela pourrait leur permettre d’avoir facilement un accès de connexion au compte de l’utilisateur ciblé, ce qui est également très dangereux.

Une fois le logiciel malveillant installé, le schéma d’attaque sera similaire à celui d’autres voleurs de SMS. L’équipe de sécurité a déclaré que la nouvelle fonctionnalité peut demander à l’utilisateur de remplacer l’application de messagerie par défaut par l’application malveillante. Une fois cette opération effectuée, l’application malveillante peut intercepter tous les messages entrants.

Le logiciel malveillant original est diffusé par le biais de fausses applications

Pour ce qui est de la troisième fonctionnalité, le logiciel malveillant est capable de placer un morceau de code qu’il télécharge depuis le serveur de contrôle et d’effectuer une journalisation des événements sur les appareils compromis. Là encore, les chercheurs ont déclaré que la troisième fonctionnalité est encore en cours de développement. Ils ajoutent que les acteurs responsables du logiciel malveillant veulent étendre sa fonctionnalité pour récupérer des données d’autres applications, ce qui peut abuser du service d’accessibilité.

Clearfy ajoute que le logiciel malveillant BRATA original a été distribué via de fausses applications antivirus ou d’autres applications courantes. Toutefois, lorsqu’il a été utilisé pour l’attaque, le logiciel malveillant a repris la fonctionnalité d’une attaque APT qui cible les clients d’une banque Italienne particulière.

La tendance la plus récente a été découverte comme étant le nouveau modèle d’attaque que les acteurs de la menace peuvent utiliser dans des attaques ultérieures, tandis que d’autres fonctionnalités supplémentaires sont encore en cours de développement. Les hackers se concentrent généralement sur la diffusion d’applications malveillantes visant une banque particulière pendant plusieurs mois avant de se tourner vers une autre banque pendant quelques mois encore.

Les hackers testent différentes méthodes pour étendre leur champ d’action

BRATA est l’acronyme de « Brazilian Remote Access Tool Android ». Il a d’abord été découvert dans la nature au Brésil en 2018 avant de réapparaître à nouveau en Europe en avril dernier. À l’époque, le logiciel malveillant se faisait passer pour un logiciel antivirus et d’autres outils populaires pour tromper les utilisateurs et les inciter à les télécharger. Depuis, le logiciel malveillant a subi plusieurs modifications, les développeurs l’ayant rendu plus fort et plus nuisible.

Le logiciel malveillant utilise une page de phishing et a été équipé pour lire les SMS des victimes, ce qui pourrait être utilisé pour mener une attaque complète de type Account Takeover (ATO).

Les chercheurs ont également découvert un autre échantillon d’application Android qui utilise la même infrastructure C2 que le logiciel malveillant BRATA pour voler des SMS. Cela montre que les hackers continuent de tester différentes méthodes pour étendre leur champ d’action.

Summary
LES CHERCHEURS AFFIRMENT QUE BRATA S'EST TRANSFORMÉ EN MENACE PERSISTANTE AVANCÉE
Article Name
LES CHERCHEURS AFFIRMENT QUE BRATA S'EST TRANSFORMÉ EN MENACE PERSISTANTE AVANCÉE
Description
La société de cybersécurité Clearfy a déclaré que les hackers responsables du logiciel malveillant Android BRATA ont commencé à opérer en tant que groupe de menace persistante avancée (APT).
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading