Le malware Android BRATA revient et il est plus fort

Dans un rapport dévoilé lundi 24 janvier, les analystes de l’équipe de cyber experts de Cleafy ont identifié des nouvelles versions plus élaborées du malware Android BRATA.

BRATA est de retour et il a fait un peu de musculation. Ce cheval de troie qui sévit sur Android, avait été identifié par Kaspersky en 2019 au Brésil. Le logiciel malveillant "incite la victime à saisir ses identifiants bancaires en ligne (ou les données de sa carte bancaire) et intercepte l'autorisation à deux facteurs", décrit à l'Informaticien Victor Chebyshev, Lead Security Researcher chez Kaspersky. Dans le détail, le malware se diffuse par un SMS usurpant l'identité d'une banque qui redirige vers un site web où la victime est poussée à installer le cheval de troie. L’APK de BRATA est dissimulé dans un paquet JAR ou DEX chiffré. Il est ainsi quasi indétectable par un Antivirus. Une fois le malware installé, l’Antivirus est désinstallé, en même temps que sont désactivés les paramètres de sécurité. L'espionnage peut commencer. 

De nouvelles fonctionnalités

Les analystes de Cleafy ont étudié BRATA de près et ont identifié deux nouvelles vagues. Une première en novembre 2021 et une seconde vers la mi-décembre. Ils ont découvert que de nouvelles variantes sur mesure visaient les utilisateurs de services bancaires en lignes au Royaume-Uni, en Pologne, en Italie, ou encore en Chine. 

Désormais, certaines versions comportent un suivi GPS, qui donne la possibilité de surveiller en permanence l'application bancaire de la victime. Cleafy suppose que cette fonction pourrait être utile aux pirates dans le cadre de développements futurs : « très probablement pour cibler des personnes appartenant à des pays spécifiques ou pour activer d'autres mécanismes de retrait (par exemple, des distributeurs automatiques de billets sans carte) », note l'étude. S'ajoute la capacité d'utiliser plusieurs canaux de communication (HTTP et TCP) afin de maintenir une communication permanente entre un serveur et un appareil Android. Le malware peut aussi effectuer une réinitialisation d'usine sur l'appareil pour effacer toute trace d'activité malveillante. 

« Certaines caractéristiques de BRATA sont très courantes, comme la partie phishing. Cependant, le nettoyage des appareils semble être rare. BRATA ressemble à un couteau suisse du point de vue des fonctionnalités. Il s'agit d'un logiciel malveillant ordinaire qui contient toutes les fonctions nécessaires pour mener à bien des attaques sur le compte bancaire de la victime. », détaille Victor Chebyshev.   

Un malware en constante évolution

Cleafy s’attend à ce que BRATA développe de nouvelles fonctionnalités à l’avenir. « Quoi qu'il en soit, pour BRATA comme pour d'autres menaces financières similaires, les utilisateurs de téléphones mobiles doivent suivre les recommandations de base en matière d'hygiène mobile », assure Victor Chebyshev. A savoir : Ne pas ouvrir de liens inconnus sur les réseaux sociaux, les messages ou bannières publicitaires. Mais aussi éviter d’installer des applications provenant de tiers et sécuriser ses appareils avec une solution fiable qui protège contre un maximum de menace.