Android Malware BRATA Menjadi Ancaman Smartphone Tingkat Lanjut

Operator di balik BRATA sekali lagi menambahkan lebih banyak kemampuan ke malware seluler Android dalam upaya untuk membuat serangan mereka terhadap aplikasi keuangan lebih sembunyi-sembunyi.

"Faktanya, modus operandi sekarang cocok dengan pola aktivitas Advanced Persistent Threat (APT)," kata perusahaan keamanan siber Italia Cleafy dalam sebuah laporan pekan lalu. "Istilah ini digunakan untuk menggambarkan kampanye serangan di mana penjahat membangun kehadiran jangka panjang di jaringan yang ditargetkan untuk mencuri informasi sensitif."

Sebuah akronim untuk "Brazilian Remote Access Tool Android," BRATA pertama kali terdeteksi di alam liar di Brasil pada akhir 2018, sebelum membuat penampilan pertamanya di Eropa April lalu, sambil menyamar sebagai perangkat lunak antivirus dan alat produktivitas umum lainnya untuk mengelabui pengguna agar mengunduhnya.

Perubahan pola serangan, yang mencapai skala tertinggi baru pada awal April 2022, melibatkan penyesuaian malware untuk menyerang lembaga keuangan tertentu pada suatu waktu, beralih ke bank yang berbeda hanya setelah korban mulai menerapkan tindakan balasan terhadap ancaman tersebut.

Juga tergabung dalam aplikasi nakal adalah fitur-fitur baru yang memungkinkannya untuk meniru halaman login lembaga keuangan untuk memanen kredensial, mengakses pesan SMS, dan sideload payload tahap kedua ("unrar.jar") dari server jarak jauh untuk mencatat peristiwa pada perangkat yang disusupi.

"Kombinasi halaman phishing dengan kemungkinan untuk menerima dan membaca sms korban dapat digunakan untuk melakukan serangan Account Takeover (ATO) lengkap," kata para peneliti.

Selain itu, Cleafy mengatakan menemukan sampel paket aplikasi Android terpisah ("SMSAppSicura.apk") yang menggunakan infrastruktur command-and-control (C2) yang sama dengan BRATA untuk menyedot pesan SMS, menunjukkan bahwa aktor ancaman sedang menguji berbagai metode untuk memperluas jangkauan mereka.

Aplikasi pencuri SMS dikatakan secara khusus memilih pengguna di Inggris, Italia, dan Spanyol, tujuannya adalah untuk dapat mencegat dan menyusup ke semua pesan masuk yang terkait dengan kata sandi satu kali yang dikirim oleh bank.

"Kampanye pertama malware didistribusikan melalui antivirus palsu atau aplikasi umum lainnya, sementara selama kampanye malware mengambil giliran serangan APT terhadap pelanggan bank Italia tertentu," kata para peneliti.

"Mereka biasanya fokus pada pengiriman aplikasi berbahaya yang ditargetkan ke bank tertentu selama beberapa bulan, dan kemudian pindah ke target lain."

Sumber: https://thehackernews.com/2022/06/brata-android-malware-gains-advanced.html