L’Espagne ciblée par BRATA ? Ce logiciel malveillant revient sur le devant de la scène et se développe au point de devenir une véritable menace persistante avancée (APT).
Voyons qui est ce malware.
Qui est Brata ?
Janvier 2019
BRATA est l’acronyme de Brazilian Remote Access Tool Android, un cheval de Troie apparu au Brésil qui a été découvert par Kaspersky en janvier 2019. Le maliciel a été conçu pour usurper les coordonnées bancaires des victimes utilisateurs d’Android.
Son vecteur d’attaque était le phishing (ou smishing), via des notifications, SMS, WhatsApp, URL vérolées.
Le malware s’est propagé sur le Google Play Store en tant que fausse mise à jour de WhatsApp , résultat, plus de 10.000 téléchargements, environ 500 utilisateurs par jour ont été ciblés.
BRATA exploitait notamment la vulnérabilité de WhatsApp CVE-2019-3568 permettant d’exécuter du code à distance sur un téléphone Android ou iPhone par le biais d’une simple tentative d’appel WhatsApp.
Juin 2021
En juin 2021, un variant apparait en Europe, plus précisément en Italie, sous la forme de fausses applications anti-spam (« Sicurezza Dispositivo » soit Device Security). Dans cette campagne, le gang visait un institut financier avec un taux de furtivité dans Virus Total de 50 %. Cela a conduit à une deuxième variante à la mi-octobre. Cette fois ci, trois instituts étaient visés, avec un taux de détection encore plus faible.
Le mode opératoire consistait à envoyer une fausse alerte bancaire par SMS conduisant sur un faux site, et, par le biais d’un opérateur support frauduleux, d’obtenir le contrôle de l’appareil de la victime pour réaliser une opération bancaire illégitime.
Janvier 2022
En janvier 2022, BRATA revient sur la scène des malwares avec une version plus agressive visant à s’établir sur le long terme, permettant de le qualifier d’APT (Advanced Persistant Threat). De nouvelles fonctionnalités – telles que l’accès à la position GPS, la présence d’un enregistreur de frappes et un module VNC – ont été ajoutées au mode opératoire de BRATA. Les pays visés sont alors le Royaume-Uni, la Pologne, l’Italie, la Chine et l’Espagne.
Le cheval de Troie bancaire BRATA peut désormais réinitialiser le smartphone après avoir effectué des démarches bancaires illicites afin d’effacer toute preuve.
Comment fonctionne-t-il ?
Ce logiciel malveillant pousse la victime à saisir ses identifiants bancaires en ligne pour ensuite intercepter l’authentification à deux facteurs.
Pour ce faire il se diffuse par un SMS usurpant l’identité d’une banque qui redirige vers un site web.
L’APK de BRATA est dissimulé dans un paquet JAR ou DEX chiffré, lui permettant de surveiller les applications bancaires en temps réel et de tracer la géolocalisation.
Sa particularité est qu’il est quasi indétectable par un antivirus, et cerise sur le gâteau, une fois le malware installé, l’antivirus est désinstallé, les paramètres de sécurité désactivés. Le malware peut ainsi effectuer une réinitialisation sur l’appareil pour effacer toutes traces d’activités permettant ainsi de dissimuler toutes les preuves du virement illicite effectué depuis le compte bancaire.
Toute la nouveauté réside là, dans sa capacité à nettoyer des appareils, à formater le téléphone.
L’utilisateur voit ainsi ses photos, vidéos, comptes et autres données disparaitre.
Plus en détails…
Dans un SMS de phishing déguisé en alerte bancaire, la victime est invitée à cliquer sur un lien frauduleux pour accéder à son compte. La nouvelle version de BRATA imite la page d’accueil d’authentification au site bancaire. Ayant la possibilité de lire les SMS, BRATA est en mesure d’intercepter le message permettant l’authentification à deux facteurs. Le logiciel malveillant télécharge un document JAR ou DEX chiffré depuis le serveur C2. Une fois installé sur l’appareil, il peut désinstaller l’antivirus et ainsi y persister.
La méthodologie de ciblage de BRATA est singulière car il s’attaque à une seule institution financière spécifique à la fois. Par ailleurs, en plus de la capacité à lire les SMS, le nouveau variant de BRATA permet de réinitialiser l’appareil à la configuration d’usine et ainsi d’effacer les traces de sa présence. Il aurait également la possibilité d’accéder aux données géolocalisées du téléphone et de surveiller les applications bancaires en temps réel.
Les analystes de TEHTRIS Threat Research ont pris des souches spécifiques pour tester le comportement de BRATA sur des téléphones Android et sur des sandboxes Android.
Au niveau comportemental, l’application essaie par exemple :
- De rendre impossible l’usage du compte administrateur (via le DevicePolicyManager et la fonction removeActiveAdmin)
- De forcer un nouveau mot de passe pour le déverrouillage du téléphone (via le DevicePolicyManager et la fonction resetPassword)
- D’enregistrer et de démarrer des services
- Et bien d’autres actions classiques pour les backdoors sous Android
Dans les petits détails intéressants, on voit que les permissions demandées (Référence : https ://developer.android.com/reference/android/Manifest.permission) sont assez nombreuses sur l’une des souches étudiées à TEHTRIS.
On y retrouve la géolocalisation vue précédemment, mais aussi de quoi contrôler tout ce qu’il faut pour un pirate à distance (lire les SMS, téléphoner, modifier le téléphone, etc).
o android.permission.WRITE_SETTINGS: Allows an application to modify the system's settings data. Malicious applications can corrupt your system's configuration.
o android.permission.WRITE_EXTERNAL_STORAGE: Allows an application to write to the SD card.
o android.permission.INTERNET: Allows an application to create network sockets.
o android.permission.WAKE_LOCK: Allows an application to prevent the phone from going to sleep.
o android.permission.READ_SMS: Allows application to read SMS messages stored on your phone or SIM card. Malicious applications may read your confidential messages.
o android.permission.CALL_PHONE: Allows the application to call phone numbers without your intervention. Malicious applications may cause unexpected calls on your phone bill. Note that this does not allow the application to call emergency numbers.
o android.permission.ACCESS_FINE_LOCATION: Access fine location sources, such as the Global Positioning System on the phone, where available. Malicious applications can use this to determine where you are and may consume additional battery power.
o android.permission.SYSTEM_ALERT_WINDOW: Allows an application to show system-alert windows. Malicious applications can take over the entire screen of the phone.
o android.permission.DISABLE_KEYGUARD: Allows an application to disable the key lock and any associated password security. A legitimate example of this is the phone disabling the key lock when receiving an incoming phone call, then re-enabling the key lock when the call is finished.
o android.permission.MODIFY_AUDIO_SETTINGS: Allows application to modify global audio settings, such as volume and routing.
o com.android.launcher.permission.WRITE_SETTINGS: Allows an application to modify the system's settings data. Malicious applications can corrupt your system's configuration.
o com.android.launcher2.permission.WRITE_SETTINGS: Allows an application to modify the system's settings data. Malicious applications can corrupt your system's configuration.
o com.android.launcher3.permission.WRITE_SETTINGS: Allows an application to modify the system's settings data. Malicious applications can corrupt your system's configuration.
o com.mi.android.globallauncher.permission.WRITE_SETTINGS: Allows an application to modify the system's settings data. Malicious applications can corrupt your system's configuration.
o android.permission.CHANGE_WIFI_STATE: Allows an application to connect to and disconnect from Wi-Fi access points and to make changes to configured Wi-Fi networks.
o android.permission.WRITE_EXTERNAL_STORAGE: Allows an application to write to the SD card.
o android.permission.USE_CREDENTIALS: Allows an application to request authentication tokens.
o android.permission.MANAGE_ACCOUNTS: Allows an application to perform operations like adding and removing accounts and deleting their password.
o android.permission.READ_PHONE_STATE: Allows the application to access the phone features of the device. An application with this permission can determine the phone number and serial number of this phone, whether a call is active, the number that call is connected to and so on.
o android.permission.MOUNT_UNMOUNT_FILESYSTEMS: Allows the application to mount and unmount file systems for removable storage.
o android.permission.GET_TASKS: Allows application to retrieve information about currently and recently running tasks. May allow malicious applications to discover private information about other applications.
o android.permission.WRITE_SETTINGS: Allows an application to modify the system's settings data. Malicious applications can corrupt your system's configuration.
Brata en Espagne
Les auteurs de BRATA, sont en train de gagner l’Europe.
Lundi 24 janvier 2022, le malware s’est attaqué à toute l’Amérique Latine, les États-Unis, la Chine, la Pologne, le Royaume-Uni, l’Italie et l’Espagne.
Tout commence par un SMS se faisant passer pour des alertes bancaires. Pour intercepter les SMS entrants, l’application demande à l’utilisateur de la définir comme application de messagerie par défaut, tout en demandant l’autorisation d’accéder aux contacts sur l’appareil. Mais cette fois-ci le malware ne passe à une autre banque qu’après que la victime ait commencé à mettre en œuvre des mesures de défense.
Comme ci-dessous :
En quoi cette dernière attaque doit-elle nous inquiéter ?
BRATA continue d’évoluer et nécessite toute notre vigilance. Au départ il s’agissait d’un simple « malware » mais désormais ces campagnes prennent une tournure d’attaque APT.
Leurs victimes sont bien ciblées, et frappent les unes après les autres de manière organisée. Le risque porte désormais sur les distributeurs automatiques de billets sans carte, et la cible devrait, elle aussi s’affiner.
TEHTRIS
Face à ce type d’attaque TEHTRIS préconise quelques conseils comme :
- Si vous pensez que votre équipement est compromis ou que vous souhaitez jouer un acte de prudence de temps en temps, vous pouvez redémarrer votre téléphone. Certains le font au minimum une fois par jour, l’idée étant que c’est plus compliqué pour certains outils pirates d’être persistants au démarrage, donc le reboot supprime l’activité malveillante (ne pas généraliser à toutes les menaces)
- Mettre à jour ses applications et des logiciels
- Privilégier une bonne protection de vos téléphones et tablettes
- Et bien évidemment, arborer une hygiène numérique afin d’éviter les pièges et impuretés sur tous vos équipements
Vous pouvez suivre nos conseils mentionnés dans notre article : https://tehtris.com/fr/blog/comment-se-proteger-des-cyberattaques-sur-son-smartphone.
TEHTRIS et notre solution Mobile Threat Defense : MTD, est capable, grâce à sa base de connaissances en perpétuelle évolution, d’identifier les applications malveillantes, d’analyser et de trouver les traces du spyware.
A chaque fois qu’un téléphone d’entreprise protégé par TEHTRIS MTD, cherche un domaine, à chaque installation de programme, l’action est tracée. Notre solution assure une surveillance des éléments qui échappent généralement aux autres solutions.