圖片來源: 

Cleafy

安全廠商Cleafy近日發現,一隻名為BRATA的Android木馬程式,除了會騙取用戶銀行帳戶存款外,還會藉由重置用戶手機來躲避偵查。

BRATA為Brazilian RAT Android最初是2019年卡巴斯基發現,因流竄於巴西,針對Android用戶的RAT(remote access trojan)程式而得名。但之後它擴大到美國及西班牙等地。Cleafy研究人員去年11月起再度偵測到BRATA活動,除了拉丁美洲、義大利等原有區域,並新增英國、波蘭,此外西班牙及中國也有零星個案。

這波感染中,BRATA是透過簡訊誘使用戶下載防護垃圾郵件軟體,而安裝到用戶手機上。這波BRATA活動有3個變種。分析BRATA,研究人員發現在最常見的變種中,惡意程式作者新增了多項新功能,包括回復手機出廠設定、GPS定位、和C&C伺服器之間使用多重傳輸通道(HTTP、TCP),以及透過VNC(Virtual Network Computing,具遠端操作及螢幕分享)及鍵盤側錄功能擷取用戶銀行帳戶密碼等資訊。

為了突破手機既有安全防護,例如限制App存取權限,因此在安裝時,BRATA誘使用戶同意數項權限,包括取得手機輔助服務(Accessibility Services)以啟動VNC、蒐集GPS定位紀錄及回復手機出廠設定並刪除裝置所有資料。研究人員指出,回復出廠設定是這隻惡意程式的kill switch功能;當駭客完成匯款,或是發現防毒軟體偵測時,攻擊者即可遠端執行,目的在刪除所有資料以消滅跡證。

事實上已有兩起受害者手機遭到重置,在資料被刪除後受害者即使發現戶頭短少也完全無從追查原因。

最後,BRATA的多重傳輸通道功能則讓它先以HTTP協定和C&C伺服器建立連線、驗證並刪除裝置上的防毒App,再轉換到更有效的WebSocket協定,以便持續從C&C伺服器接收檔案或將蒐集到的手機資訊傳給攻擊者。

熱門新聞

Advertisement