Cosa sapere su BRATA, il malware bancario attivo in Italia che cancella tutti i dati

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

C’è un nuovo malware in circolazione in Italia: a segnalarlo è il laboratorio di ricerca Cleafy, che indica nel malware BRATA il prossimo incubo di tutta la brava gente di Android Italia, e non solo. Il virus, diffuso in tre varianti, prende di mira account e coordinate bancarie con il fine ultimo di svuotarne le liquidità. Per evitare il tracciamento non soltanto utilizza tecniche note soprattutto ai trojan, come il camuffamento e l’uso dei servizi di accessibilità pensati da Google per le persone con difficoltà fisiche e sensoriali; ma arriva anche alla formattazione completa del dispositivo, comprendente la cancellazione di tutti i dati archiviati al proprio interno, per cancellare (letteralmente) qualunque traccia del proprio passaggio.

Siete pronti per scoprire tutto quello che occorre sapere su BRATA, il nuovo malware che terrorizza gli account bancari di Italia, Polonia, Regno Unito e praticamente di mezza Europa?

Che cos'è BRATA

BRATA non è un malware qualunque: è un trojan bancario, che si insinua all’interno degli smartphone per prelevarne i dati più sensibili. Quali sono le parole-chiave per capire al meglio le tecniche applicate da BRATA nelle sue attività di penetrazione dei telefoni delle sue malcapitate vittime?

La prima è “servizi di accessibilità”: si tratta di un pacchetto di funzioni che Google ha inserito nel sistema operativo Android per consentire a persone con disabilità motorie e sensoriali di utilizzare gli smartphone nella maniera più accessibile possibile. Dato che questi servizi consentono alle app di interagire autonomamente con lo schermo – ossia, senza che l’utente abbia effettivamente toccato il display – i malware ne abusano per installare autonomamente file infetti nel dispositivo e compiere azioni senza l’ausilio dell’utente.

La seconda è “server di Comando & Controllo”: si definiscono così i server dai quali i malware, una volta installatisi nel telefono, ricevono i comandi da applicare all’interno del dispositivo. I virus Android non sono (ancora) autonomi nelle procedure di attacco più sofisticate, e devono comunque ricevere degli imput dall’esterno.

La terza è “keylogger”: è il nome che viene dato a un particolare tipo di malware che registra le digitazioni effettuate sulle tastiere, e le contestualizza – ossia, sa quando un utente sta inserendo una password e quando invece sta rispondendo all’SMS della mamma.

Come BRATA attacca gli smartphone degli utenti

BRATA non è un malware nuovo al mondo Android: Cleafy sostiene di averne notato la diffusione specialmente durante il mese di novembre e dicembre 2021, in particolare nel mercato italiano; nuove versioni sono state però identificate anche nelle aree polacche, inglesi e delle regioni mediorientali, e alcuni indizi lasciano intendere che BRATA sia pronto a sbarcare anche nel mercato cinese e spagnolo.

Alcuni dei travestimenti adottati dal malware BRATA

Una minaccia a tutto campo che prende di mira le app dei principali istituti di credito italiani. La strategia messa in atto, una volta che l’app si è installata sul dispositivo sotto le mentite spoglie di un antivirus o di una suite per la gestione della batteria, e ha ottenuto l’uso dei servizi di accessibilità, dipende grandemente dalla versione del malware BRATA in attività sul dispositivo.

Esistono infatti ben tre versioni del suddetto malware!

La prima, chiamata BRATA A., è anche la più vecchia e quella più circolata durante lo scorso anno: è capace di prendere screenshot delle schermate all’interno delle app di gestione dei conti correnti e di tracciare il GPS dello smartphone – benché la feature non sia effettivamente usata in nessuna delle tre versioni. La seconda, BRATA B., dispone delle medesime funzioni, e in più aggiunge un software di keylogging per il furto delle password e dei PIN di accesso.

La terza versione, BRATA C., è anche la più sofisticata: si tratta infatti non di un malware in sé, ma di un downloader che si occupa di scaricare sul dispositivo il “vero” virus BRATA infetto da un server di Comando & Controllo. Si tratta di una soluzione già adottata in passato da altri malware modulari: in questo modo l’app di partenza non risulta infetta agli occhi degli scanner antivirus, poiché effettivamente priva di contenuti infetti.

Un’immagine che descrive le fasi di attacco del malware BRATA

In tutti e tre i casi il malware prende di mira le app bancarie: le versioni BRATA B. e BRATA C. sono particolarmente insidiose poiché capaci di tracciare tutte le digitazioni inserite all’interno dell’app, e specialmente le password e i codici OTA inviati dalle banche quale misura di sicurezza ulteriore per l’autenticazione a due fattori. Gli screenshot non sono infatti più una minaccia credibile, in quanto quasi tutte le app di banking hanno integrato tecnologie di offuscamento delle catture di schermata.

L’atto finale è però dato dalla formattazione che il malware applica al dispositivo. Dopo aver portato a termine il furto, BRATA cancella ogni file contenuto nel dispositivo (e dunque si auto-distrugge) per evitare qualunque identificazione e per proseguire così il più possibile la propria attività criminale senza essere notato. Lo stesso comportamento è stato notato anche nel caso in cui il malware venga installato in uno spazio virtuale, generalmente per finalità di analisi, così da impedirne lo studio.

L’ultima caratteristica più minacciosa, il tracciamento della posizione, non è stata ancora implementata ma – ipotizzano i programmatori che hanno analizzato BRATA – sembra che potrebbe venire “utile” al malware per interagire a distanza con gli sportelli con modalità di prelievo cardless.

Come difendersi da BRATA

Difendersi da BRATA non sembra semplice, data la complessità delle sue fasi di attacco. Allo stato attuale tuttavia non è ancora stato segnalato un suo “sconfinamento” nel Play Store, di conseguenza possiamo con sicurezza dirvi che scaricare app dallo store di Google sia ancora una buona pratica per evitare qualsiasi possibile infezione.

Questo genere di malware ha il suo terrendo di caccia negli store di terze parti dotati di controlli meno stingenti, quindi tenete sempre un occhio aperto e l’altro pure quando scaricate applicazioni da fonti di terze parti. Vi suggeriamo di rimanere iscritti ai nostri canali social per rimanere sempre aggiornati sulle nuove evoluzioni di BRATA, in costante evoluzione e particolarmente attivo in Europa.

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete seguirci sulla nostra pagina Facebook, sul nostro account Twittersul nostro canale Telegram! Grazie mille!

Fonte Cleafy
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//