安全厂商Cleafy近日发现,一只名为BRATA的Android木马程序,除了会骗取用户银行账户存款外,还会借由重置用户手机来躲避侦查。
BRATA为Brazilian RAT Android最初是2019年卡巴斯基发现,因流窜于巴西,针对Android用户的RAT(remote access trojan)程序而得名。但之后它扩大到美国及西班牙等地。Cleafy研究人员去年11月起再度侦测到BRATA活动,除了拉丁美洲、意大利等原有区域,并添加英国、波兰,此外西班牙及中国也有零星个案。
这波感染中,BRATA是通过短信诱使用户下载防护垃圾邮件软件,而安装到用户手机上。这波BRATA活动有3个变种。分析BRATA,研究人员发现在最常见的变种中,恶意程序作者添加了多项新功能,包括回复手机出厂设置、GPS定位、和C&C服务器之间使用多重传输信道(HTTP、TCP),以及通过VNC(Virtual Network Computing,具远程操作及屏幕分享)及键盘监听功能截取用户银行账户密码等信息。
为了突破手机既有安全防护,例如限制App访问权限,因此在安装时,BRATA诱使用户同意数项权限,包括取得手机辅助服务(Accessibility Services)以启动VNC、搜集GPS定位记录及回复手机出厂设置并删除设备所有资料。研究人员指出,回复出厂设置是这只恶意程序的kill switch功能;当黑客完成汇款,或是发现杀毒软件侦测时,攻击者即可远程执行,目的在删除所有资料以消灭迹证。
事实上已有两起受害者手机遭到重置,在资料被删除后受害者即使发现户头短少也完全无从追查原因。
最后,BRATA的多重传输信道功能则让它先以HTTP协议和C&C服务器创建连接、验证并删除设备上的杀毒App,再转换到更有效的WebSocket协议,以便持续从C&C服务器接收文件或将搜集到的手机信息传给攻击者。