BRATA được Kaspersky phát hiện lần đầu vào năm 2019 dưới dạng Android RAT (công cụ truy cập từ xa). Lúc đó, nó chủ yếu nhắm vào người dùng tại Brazil.
Tháng 12/2021, báo cáo của Cleafy cho biết BRATA đã hiện diện tại châu Âu. Biến thể mới này nhắm vào các người dùng sử dụng dịch vụ ngân hàng điện tử để đánh cắp thông tin đăng nhập. Ngoài ra, BRATA còn có sự hỗ trợ của những kẻ lừa đảo, giả danh nhân viên hỗ trợ khách hàng của ngân hàng.
Các nhà phân tích tại Cleafy đã tiếp tục theo dõi BRATA và thu được nhiều báo cáo quan trọng.
Có các phiên bản khác nhau cho các đối tượng khác nhau
Cho đến nay, các chuyên gia phát hiện thấy BRATA có nhiều phiên bản khác nhau. Chúng nhắm vào người dùng sử dụng dịch vụ ngân hàng điện tử tại Vương quốc Anh, Ba Lan, Ý, Tây Ban Nha, Trung Quốc và Mỹ Latinh.
Mỗi phiên bản sẽ tập trung vào các ngân hàng khác nhau với các cài đặt, ngôn ngữ và thậm chí là app lừa đảo khác nhau để nhắm vào những đối tượng cụ thể. Những kẻ đứng sau BRATA đã sử dụng các kỹ thuật xáo trộn khác nhau nhằm vượt qua các phần mềm diệt virus.
Thậm chí, BRATA còn chủ động tìm kiếm sự hiện diện của phần mềm diệt virus trên thiết bị và cố gắng xóa chúng đi trước khi đến bước lọc dữ liệu.
Các tính năng mới
Các nhà nghiên cứu của Cleafy còn phát hiện ra những phiên bản mới nhất của BRATA được bổ sung thêm nhiều tính năng mới. Bên cạnh khả năng chụp màn hình, BRATA còn có khả năng keylog (ghi lại thao tác trên bàn phím). Ngoài ra, mặc dù chưa rõ mục đích nhưng mọi phiên bản BRATA mới đều có thêm tính năng theo dõi GPS.
Tính năng mới đáng sợ nhất đó chính là khả năng xóa sạch thiết bị. BRATA sẽ kích hoạt quá trình khôi phục lại cài đặt gốc của thiết bị Android trong các tình huống sau:
- Quá trình xâm nhập thành công, đã trích xuất được các dữ liệu cần đánh cắp.
- Mã độc phát hiện ra nó đang chạy trên một môi trường ảo, chủ yếu dùng để phân tích.
BRATA sử dụng phương thức khôi phục cài đặt gốc của thiết bị như một công tắc tự hủy nhằm tự bảo vệ, xóa dấu vết. Tuy nhiên, vì chúng xóa sạch thiết bị nên cũng dẫn tới việc người dùng bị mất dữ liệu hoàn toàn, không thể khôi phục (nếu không sao lưu từ trước).
Cuối cùng, BRATA bổ sung thêm các kênh giao tiếp mới để trao đổi giữ liệu với máy chủ điều khiển (C2) và hiện hỗ trợ cả HTTP và WebSockets.
Làm sao để tránh khỏi BRATA
BRATA chỉ là một trong số rất nhiều mã độc, RAT và trojan nhắm vào hệ điều hành Android. Cách tốt nhất để tránh bị nhiễm mã độc là chỉ cài ứng dụng từ Google Play Store, tránh dùng file APK từ các nguồn không đảm bảo. Nếu buộc phải dùng, hãy sử dụng phần mềm diệt virus để quét file trước khi cài.
Trong quá trình cài đặt, hãy chú ý tới các quyền mà ứng dụng yêu cầu và tránh cấp bất kỳ quyền nào có vẻ không cần thiết đối với chức năng cốt lõi của ứng dụng.
Cuối cùng, hãy theo dõi mức tiêu thụ pin và lưu lượng truy cập mạng, nếu thấy có sự gia tăng đột biến thì nhiều khả năng là do mã độc chạy nền gây ra.