بد افزار اندروید BRATA پس از دزدی اطلاعات، دستگاه شمارا پاک می‌کند

دسته بندی ها : آسیب پذیری ۷ بهمن ۱۴۰۰ آپا دانشگاه تبریز 168 بازدید
تصویر 1 بدافزار BRATA در اندروید

بدافزار اندرویدی معروف به BRATA ویژگی‌های جدید و خطرناکی را به آخرین نسخه خود اضافه کرده است. از جمله ردیابی GPS، ظرفیت استفاده از کانال‌های ارتباطی متعدد و عملکرد بازگشت به تنظیمات کارخانه را روی دستگاه انجام می‌دهد تا تمام آثار و ردپای فعالیت‌های مخرب را پاک کند.

BRATA برای اولین بار توسط Kaspersky در سال ۲۰۱۹ به عنوان یک Android RAT (ابزار دسترسی از راه دور) که عمدتاً کاربران برزیلی را هدف قرار می داد، مشاهده و شناخته شد.

در دسامبر ۲۰۲۱ گزارشی توسط Cleafy  به وجود خطرات بدافزار در اروپا تاکید کرد. بدافزار کاربران بانک الکترونیکی (e-banking) را مورد هدف قرارداده و اعتبار و اطلاعات آن‌ها را با هم دستی کلاهبردارانی که خود را به عنوان عوامل پشتیبانی مشتریان بانک معرفی می‌کنند، می‌دزدد.

تحلیلگران Cleafy به نظارت بر BRATA برای یافتن ویژگی‌های جدید ادامه دادند. در گزارش جدیدی که منتشر شد، چگونگی ادامه تکامل این بدافزار نشان داده می‌شود.

نسخه مناسب برای کاربران مختلف

آخرین نسخه بدافزار BRATA در حال حاضر کاربران بانک الکترونیکی در بریتانیا، لهستان، ایتالیا، اسپانیا، چین و آمریکای لاتین را مورد هدف قرار داده است.

هر نسخه بر روی بانک‌های مختلف با مجموعه‌های همپوشانی اختصاصی، زبان‌ها و حتی برنامه‌های مختلف برای هدف قرار دادن مخاطبان خاص، تمرکز می‌کند.

تصویر 2 تغییرات BRATA در کشورهای مختلف

برنامه نویسان این بدافزار از تکنیک‌های مبهم‌سازی مشابه در همه نسخه‌ها استفاده می‌کنند. همان‌طور که در اسکن VirusTotal مشاهده می‌کنیم، این مبهم‌سازی با روش‌هایی مانند تبدیل و تزریق فایل APK در یک فایل JAR یا DEX رمزگذاری شده، با موفقیت شناسایی شدن توسط آنتی ویروس را دور می‌زند.

تصویر 3 نرخ شناسایی توسط آنتی ویروس

هم اکنون BRATA فعالانه به دنبال نشانه‌هایی از حضور آنتی ویروس در دستگاه است و سعی می‌کند ابزارهای امنیتی شناسایی‌شده را قبل از اقدام به مرحله استخراج داده‌ها، حذف کند.

ویژگی های جدید

ویژگی‌های جدیدی که توسط محققان Cleafy در آخرین نسخه‌های BRATA مشاهده شده است، شامل عملکرد keylogging می‌شود که عملکرد تصویربرداری از صفحه نمایش موجود را تکمیل می‌کند.

همه انواع جدید این بدافزار دارای ردیابی GPS هستند. با این حال، هدف دقیق آن برای تحلیلگران یک رمز و راز باقی مانده است.

ترسناک‌ترین ویژگی‌های مخرب جدید، بازگردانی به تنظیمات کارخانه است که در شرایط زیر انجام می‌شود:

  1. سوءاستفاده با موفقیت انجام شده و عملیات مخرب به پایان رسیده باشد (یعنی اعتبارات و اطلاعات استخراج شده باشند).
  2. بدافزار تشخیص دهد که به احتمال زیاد برای تجزیه و تحلیل در یک محیط مجازی در حال اجراست.

BRATA از تنظیمات کارخانه به عنوان سوئیچ کشتن برای محافظت از خود استفاده می‌کند. اما از آنجایی که اطلاعات دستگاه را پاک می‌کند، امکان از دست رفتن ناگهانی و غیرقابل برگشت داده‌های کاربر هدف نیز وجود دارد.

تصویر 4 عملکرد factory reset

در نهایت، BRATA کانال‌های ارتباطی جدیدی را برای تبادل داده با سرور C2 اضافه کرده است و اکنون HTTP و WebSockets را پشتیبانی می‌کند.

گزینه WebSockets به حمله کنندگان یک کانال مستقیم و کم‌تاخیر را می‌دهد که برای ارتباط real-time و اکسپلویت دستی بصورت زنده، ایده آل است.

علاوه بر این، از آنجایی که WebSockets با هر اتصال نیازی به ارسال header ندارد، حجم ترافیک شبکه مشکوک کاهش می‌یابد و با گسترش و توسعه، شانس شناسایی به حداقل می‌رسد.

 

اخبار آسیب‌پذیری ها را از سایت آپا تبریز، بخش آسیب‌پذیری‌ها دنبال کنید.

 

راه های اساسی برای ایمن ماندن

BRATA تنها یک مورد از تروجان بانکی اندروید و RATهای مخفی است که به صورت گسترده در گردش‌اند. این بدافزارها اعتبارات بانکی افراد را مورد هدف قرار می‌دهند.

بهترین راه برای جلوگیری از آلوده شدن به بدافزار اندروید این است که برنامه‌ها را از فروشگاه Google Play نصب کنید. از دانلود و نصب فایل‌های APK از وب‌سایت‌های ناشناخته بپرهیزید و همیشه قبل از باز کردن، آن‌ها را با ابزار ضدبدافزار اسکن نمایید.

در هنگام نصب، به مجوزهای درخواستی برنامه توجه زیادی داشته باشید و از دادن مجوزهایی که برای عملکرد اصلی برنامه غیر ضروری به نظر می‌رسند، خودداری کنید.

تصویر 5 درخواست مجوز factory reset برای اپلیکیشن BRATA

در پایان توصیه می‌شود میزان ترافیک شبکه و مصرف باتری را تحت نظر داشته باشید. هر گونه افزایش جهشی غیر قابل توضیحی را شناسایی کنید. این افزایش ممکن است به فرآیندهای مخرب در حال اجرا در پس زمینه مربوط باشند.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :