بدافزار BRATA در بسیاری از دستگاههای اندرویدی در حال گسترش است.
بدافزار اندرویدی BRATA پس از انجام عملیات خود، اطلاعات دستگاه شما را پاک می کند.
بدافزار BRATA اولین بار در سال 2019 توسط Kaspersky به عنوان یک بدافزار از نوع دسترسی از راه دور(RAT) برای سیستم عامل اندروید شناسایی شد. عمدتاً کاربران برزیلی را هدف قرار می داد.
در دسامبر 2021، گزارشی توسط Cleafy وجود بدافزار BRATA در اروپا را تأیید کرد. که کاربران بانکداری الکترونیکی را هدف قرار داده بود و به عنوان پشتیبان نرم افزار بانکی دست به کلاهبرداری گسترده زد.
بدافزار BRATA مخفف Brazilian Remote Access Tool Android است.
در چند سال گذشته، این بدافزار در فروشگاه Google Play گسترش یافته است، جایی که برنامههای آلوده مانند تروجان حضور وسیعی دارند.
این بدافزار اندرویدی ویژگیهای جدید و خطرناکی را به آخرین نسخه خود اضافه کرده است. از جمله ردیابی GPS، استفاده از کانالهای ارتباطی متعدد و بازنشانی کارخانهای(یا reset factory) را روی دستگاه انجام میدهد تا تمام آثار و فعالیتهای مخرب خود را پاک کند.
انواع BRATA در کشورهای مختلف در حال گردش است
منبع: Cleafy
پیش از این، بدافزار BRATA تواناییهای محدودی داشت که شامل باز کردن قفل تلفن، دسترسی به اطلاعات شخصی و اجرای کد مخرب در پسزمینه بود. اکنون محققان شکل پیشرفتهتری از بدافزار BRATA را یافتهاند که در فروشگاه Google Play در حال گسترش است. نه تنها می تواند دستگاه اندرویدی آلوده را با کمک GPS ردیابی کند، بلکه دستگاه را به تنظیمات کارخانه برمی گرداند.
بنابراین برای جلوگیری از بدافزار BRATA کاربران باید در هنگام دانلود برنامهها محتاط باشند. بدافزار BRATA بیشتر از طریق برنامه هایی پخش می شود که ادعا می کنند امنیت دستگاه را افزایش می دهند.
سازندگان بدافزار BRATA از تکنیک های مبهم سازی در همه نسخه ها استفاده می کنند. مانند قرار دادن فایل APK در یک بسته JAR یا DEX رمزگذاری شده.
همانطور که در اسکن VirusTotal در زیر نشان داده شده است این تکنیک با موفقیت آنتی ویروس را دور می زند.
میزان تشخیص جدیدترین نمونه ها
منبع: Cleafy
در اسکریپت زیر مشاهده می کنید که بدافزار به دنبال نشانه یا ردی از حضور آنتی ویروس(AV) در دستگاه است و تلاش میکند تا ابزارهای امنیتی دستگاه را قبل از اقدام به مرحله استخراج دادههای بدافزار حذف کند.
آنتی ویروس ها توسط BRATA حذف شدند
منبع: Cleafy
ویژگی های جدید بدافزار BRATA
ویژگیهای جدیدی که توسط محققان Cleafy در آخرین نسخههای این بدافزار مشاهده شده شامل عملکرد keylogging است که عملکرد تصویربرداری از صفحه نمایش را تکمیل میکند.
بطور کلی هدف دقیق آن برای تحلیلگران یک رمز و راز باقی مانده است. بدافزار BRATA در نسخه جدید خود ردیابی بوسیله ی GPS را نیز انجام می دهد.
ترسناک ترین ویژگی های مخرب جدید این بدافزار انجام تنظیمات کارخانه ای است. بدافزار از تنظیمات کارخانه به عنوان سوئیچی برای محافظت و از بین بردن خود استفاده می کند. اما از آنجایی که اطلاعات دستگاه را پاک می کند، امکان از دست دادن ناگهانی و غیرقابل برگشت داده ها را نیز برای قربانی ایجاد می کند.
اسکریپت تنظیم کارخانه
منبع: Cleafy
بدافزار BRATA برای تبادل داده(با سرور C2) از کانال های ارتباطی جدیدی استفاده می کند که از HTTP و WebSockets نیز پشتیبانی می کند.
ارتباط با C2 در نسخه جدید BRATA
منبع: Cleafy
WebSockets به مهاجمان یک کانال ارتباطی مستقیم و کم تأخیر را می دهد که برای ارتباط بلادرنگ و بهره برداری ایده آل است.
علاوه بر این از آنجایی که WebSockets با هر اتصال نیازی به ارسال هدر ندارد، حجم ترافیک شبکه کاهش مییابد و با گسترش آن، شانس شناسایی به حداقل میرسد.
راه هایی برای ایمن ماندن از بد افزار BRATA
این بدافزار تنها یکی از تروجانهای بانکی اندروید و RATهای مخفی است که در دنیای اینترنت در حال گردش است و اطلاعات بانکی افراد را هدف قرار میدهد. راه های جلوگیری از نفوذ بدافزار BRATA:
-یکی از راه های جلوگیری از آلوده شدن به بدافزار اندروید این است که برنامهها را از ناشران معتبر و رسمی فروشگاه Google Play دانلود و نصب نمایید.
-از APKهای(فایل های نصبی اندروید) وبسایتهای غیر رسمی استفاده نکنید و همیشه قبل از باز کردن، آنها را با آنتی ویروس(AV) اسکن کنید.
-در حین نصب، به مجوزهای درخواستی توجه نمایید و از دادن مجوزهایی که برای عملکرد اصلی برنامه غیر ضروری به نظر می رسند خودداری کنید.
مجوز درخواست بازنشانی به تنظیمات کارخانه توسط برنامه ی آلوده به بدافزار BRATA
منبع: Cleafy
میزان مصرف باتری و حجم ترافیک شبکه خود را کنترل کنید تا هرگونه جهش غیرقابل توضیحی را که ممکن است به فرآیندهای مخربی که در پسزمینه اجرا و نسبت داده شوند شناسایی نمایید.
با وجود تمام مسائل گفته شده درباره دور زدن آنتی ویروس ها توسط بدافزار BRATA باز هم باید بگوییم که یکی از روش ها برای دور نگه داشتن بدافزار BRATA از دستگاه خودتان نصب یک برنامه آنتی ویروس است.
برنامه های آنتی ویروس نه تنها می توانند وجود برخی بدافزارها را تشخیص دهند، بلکه به طور موثر آن را از گوشی های هوشمند حذف می کنند. به علاوه این برنامهها امنیت را در برابر بدافزارها و سایر فایلهای مشکوک که ممکن است به دستگاه آسیب برسانند، تامین میکنند. پس از نصب آنتی ویروس کاربران باید به طور مرتب آن را بروز کنند.
علاوه بر این ها باید از کلیک کردن بر روی لینک های مشکوک خودداری کنید و در صورت نیاز قبل از باز کردن این لینک ها آنها را دوباره بررسی کنید.
پیشتر در سایت و در پستی جداگانه در مورد بدافزار بانک اندرویدی TeaBot مقاله ای منتشر شد. در صورت تمایل می توانید با کلیک نمودن بر روی لینک زیر، آن مقاله را مشاهده و مطالعه فرمایید.
منابع:
cleafy.com
bleepingcomputer.com
screenrant.com
dailynationtoday.com