Odborníci na kybernetickou bezpečnost ze společnosti Cleafy nedávno oznámili, že v loňském roce prudce vzrostl počet infekcí trojskými koni, které na systému Android otevíraly zadní vrátka vzdálenému přístupu (RAT). Píší o tom ve svém příspěvku "Mobile banking fraud: BRATA strikes again" na cleafy.com. Tato nebezpečná malwarová vlna se rozšířila do řady zemí a zahrnovala i šíření zákeřného malwaru Brata C2. Škodlivý kód byl poprvé objeven v Brazílii. Nyní ale byl identifikován i v Itálii, takže je možné jeho další šíření v regionu Evropy. Hackeři tento kód zneužívají ke krádežím bankovních údajů uživatelů Androidu.
Malware Brata je velmi nebezpečný i z toho důvodu, že je poměrně komplikované jej odhalit.
Androidový malware Brata: škodlivý kód odposlouchává bankovní data
Malware Brata pro Android používá obzvlášť zákeřný podvod k získání bankovních údajů uživatele. Po infiltraci do zařízení odposlouchává data a předává je na vzdálený server. | Zdroj: Markus Spiske/Unsplash
Brata funguje následovně. Uživatelé nejprve obdrží zprávu SMS s odkazem na webovou stránku, která se snaží působit dojmem, že se jedná o text zaslaný bankou. Po kliknutí na odkaz jsou uživatelé přesměrováni na webovou stránku, která jim nabízí stažení antispamové aplikace. Aby byl podvod ještě důvěryhodnější, v komunikaci se také uvádí, že uživatele bude brzy kontaktovat zaměstnanec banky, který zodpoví případné dotazy a lze s ním probrat podrobnosti o aplikaci.
Po kliknutí na podvržený odkaz je poté potřeba na zobrazené webové stránce vyplnit položky s bankovními údaji. Tímto způsobem prokážete, že jste vlastníky účtu. Poté se vás operátor pokusí přimět ke stažení aplikace, která je ale ve skutečnosti škodlivá. K tomu se používají různé techniky sociálního inženýrství. Ti, kdo manipulacím podlehnou, si nainstalují aplikaci, kterou pak podvodníci mohou zneužít ke vzdálenému ovládání telefonu.
Brata v zařízeních se systémem Android: co vše malware provádí
– Malware nejprve zachytí zprávy SMS a předá je na C2 server útočníků. C2 (command-and-control) příkazové a řídící servery útočníci používají k udržování komunikace a odesílání příkazů do systémů uvnitř cílové sítě, napadené malwarem. Získávají tak například 2FA kódy, zaslané bankou prostřednictvím SMS ve fázi přihlášení, nebo k potvrzení peněžních transakcí.
– Druhým krokem je shromáždění maxima citlivých informací. Malware k tomu zneužívá různé formy nahrávání a zachycování obrazovky a sbírá informace, které se také zobrazují na displeji zařízení. Jedná se například o hesla, platební údaje, fotografie, zprávy, ale také zvukové informace. Uživatel ani nemusí funkci záznamu aktivovat a škodlivý kód to zvládne sám bez jeho vědomí.
– Třetím krokem je vlastní destrukce, aby se zabránilo odhalení škodlivého softwaru.
– Dojde také k odstranění antimalwarových a antivirových aplikací, pokud jsou na zařízení instalované.
– Samotná škodlivá aplikace včetně ikony je samozřejmě skrytá, aby nebyla pro uživatele viditelná.
– Malware Brata je také schopen deaktivovat ochranné prostředky Google Play Protect, aby nebyl platformou klasifikován jako malware.
– Provede změny v nastavení zařízení, a tím si udělí více oprávnění.
– Shromážděné informace nakonec odesílá na speciální server.