Cosa sapere su BRATA, il malware bancario attivo in Italia che cancella tutti i dati

BRATA non è un malware qualunque: è un trojan bancario, che si insinua all’interno degli smartphone per prelevarne i dati più sensibili. Quali sono le parole-chiave per capire al meglio le tecniche applicate da BRATA nelle sue attività di penetrazione dei telefoni delle sue malcapitate vittime?

La prima è “servizi di accessibilità”: si tratta di un pacchetto di funzioni che Google ha inserito nel sistema operativo Android per consentire a persone con disabilità motorie e sensoriali di utilizzare gli smartphone nella maniera più accessibile possibile. Dato che questi servizi consentono alle app di interagire autonomamente con lo schermo – ossia, senza che l’utente abbia effettivamente toccato il display – i malware ne abusano per installare autonomamente file infetti nel dispositivo e compiere azioni senza l’ausilio dell’utente.

La seconda è “server di Comando & Controllo”: si definiscono così i server dai quali i malware, una volta installatisi nel telefono, ricevono i comandi da applicare all’interno del dispositivo. I virus Android non sono (ancora) autonomi nelle procedure di attacco più sofisticate, e devono comunque ricevere degli imput dall’esterno.

La terza è “keylogger”: è il nome che viene dato a un particolare tipo di malware che registra le digitazioni effettuate sulle tastiere, e le contestualizza – ossia, sa quando un utente sta inserendo una password e quando invece sta rispondendo all’SMS della mamma.

BRATA non è un malware nuovo al mondo Android: Cleafy sostiene di averne notato la diffusione specialmente durante il mese di novembre e dicembre 2021, in particolare nel mercato italiano; nuove versioni sono state però identificate anche nelle aree polacche, inglesi e delle regioni mediorientali, e alcuni indizi lasciano intendere che BRATA sia pronto a sbarcare anche nel mercato cinese e spagnolo.

Una minaccia a tutto campo che prende di mira le app dei principali istituti di credito italiani. La strategia messa in atto, una volta che l’app si è installata sul dispositivo sotto le mentite spoglie di un antivirus o di una suite per la gestione della batteria, e ha ottenuto l’uso dei servizi di accessibilità, dipende grandemente dalla versione del malware BRATA in attività sul dispositivo.

Esistono infatti ben tre versioni del suddetto malware!

La prima, chiamata BRATA A., è anche la più vecchia e quella più circolata durante lo scorso anno: è capace di prendere screenshot delle schermate all’interno delle app di gestione dei conti correnti e di tracciare il GPS dello smartphone – benché la feature non sia effettivamente usata in nessuna delle tre versioni. La seconda, BRATA B., dispone delle medesime funzioni, e in più aggiunge un software di keylogging per il furto delle password e dei PIN di accesso.

La terza versione, BRATA C., è anche la più sofisticata: si tratta infatti non di un malware in sé, ma di un downloader che si occupa di scaricare sul dispositivo il “vero” virus BRATA infetto da un server di Comando & Controllo. Si tratta di una soluzione già adottata in passato da altri malware modulari: in questo modo l’app di partenza non risulta infetta agli occhi degli scanner antivirus, poiché effettivamente priva di contenuti infetti.

In tutti e tre i casi il malware prende di mira le app bancarie: le versioni BRATA B. e BRATA C. sono particolarmente insidiose poiché capaci di tracciare tutte le digitazioni inserite all’interno dell’app, e specialmente le password e i codici OTA inviati dalle banche quale misura di sicurezza ulteriore per l’autenticazione a due fattori. Gli screenshot non sono infatti più una minaccia credibile, in quanto quasi tutte le app di banking hanno integrato tecnologie di offuscamento delle catture di schermata.

L’atto finale è però dato dalla formattazione che il malware applica al dispositivo. Dopo aver portato a termine il furto, BRATA cancella ogni file contenuto nel dispositivo (e dunque si auto-distrugge) per evitare qualunque identificazione e per proseguire così il più possibile la propria attività criminale senza essere notato. Lo stesso comportamento è stato notato anche nel caso in cui il malware venga installato in uno spazio virtuale, generalmente per finalità di analisi, così da impedirne lo studio.

L’ultima caratteristica più minacciosa, il tracciamento della posizione, non è stata ancora implementata ma – ipotizzano i programmatori che hanno analizzato BRATA – sembra che potrebbe venire “utile” al malware per interagire a distanza con gli sportelli con modalità di prelievo cardless.

Difendersi da BRATA non sembra semplice, data la complessità delle sue fasi di attacco. Allo stato attuale tuttavia non è ancora stato segnalato un suo “sconfinamento” nel Play Store, di conseguenza possiamo con sicurezza dirvi che scaricare app dallo store di Google sia ancora una buona pratica per evitare qualsiasi possibile infezione.

Questo genere di malware ha il suo terrendo di caccia negli store di terze parti dotati di controlli meno stingenti, quindi tenete sempre un occhio aperto e l’altro pure quando scaricate applicazioni da fonti di terze parti. Vi suggeriamo di rimanere iscritti ai nostri canali social per rimanere sempre aggiornati sulle nuove evoluzioni di BRATA, in costante evoluzione e particolarmente attivo in Europa.