Tak Terdeteksi Antivirus, Malware Android Brata Kini Menghapus Perangkat setelah Mencuri Data Perbankan
Cyberthreat.id - Malware Android yang dikenal dengan nama BRATA telah dikembangkan dalam versi terbaru dengan kemampuan semakin berbahaya, termasuk pelacakan GPS, kapasitas untuk menggunakan beberapa saluran komunikasi, dan fungsi untuk melakukan reset pabrik pada perangkat untuk menghapus semua jejak aktivitas berbahaya.
BRATA pertama kali ditemukan oleh Kaspersky pada tahun 2019 sebagai RAT Android (alat akses jarak jauh) yang terutama menargetkan pengguna Brasil.
Pada bulan Desember 2021, sebuah laporan oleh Cleafy menggarisbawahi munculnya malware ini di Eropa, di mana terlihat menargetkan pengguna e-banking dan mencuri kredensial mereka dengan melibatkan penipu yang menyamar sebagai costumer service perbankan.,,
Dalam laporan terbaru yang diterbitkan 24 Januari 2022, seperti dilaporkan Bleeping Computera, analis di Cleafy yang terus memantau perkembangan malware BRATA menggambarkan bagaimana malware terus berkembang.
Versi yang disesuaikan untuk audiens yang berbeda
Versi terbaru dari malware BRATA sekarang menargetkan pengguna e-banking di Inggris, Polandia, Italia, Spanyol, Cina, dan Amerika Latin.
Setiap varian berfokus pada bank yang berbeda dengan set overlay khusus, bahasa, dan bahkan aplikasi yang berbeda untuk menargetkan audiens tertentu.
Pengembang malware menggunakan teknik serupa di semua versi, seperti membungkus file APK ke dalam paket JAR atau DEX terenkripsi.
Cara ini berhasil melewati deteksi antivirus, seperti yang diilustrasikan oleh pemindaian VirusTotal di bawah ini.
Dari total 60 vendor antivirus di Virus Total, hanya satu yang mampu mendeteksi BRATA sebagai malware berbahaya
Selain itu, BRATA sekarang secara aktif mencari tanda-tanda keberadaan antivirus pada perangkat dan mencoba menghapus alat keamanan yang terdeteksi sebelum melanjutkan ke langkah eksfiltrasi data.
Fitur baru BRATA
Fitur-fitur baru yang ditemukan oleh peneliti Cleafy dalam versi BRATA terbaru termasuk fungsi keylogging, yang melengkapi fungsi screen capture yang ada.
Meskipun tujuan pastinya tetap menjadi misteri bagi para analis, semua varian baru juga memiliki pelacakan GPS.
Yang paling menakutkan dari fitur barunya adalah kemampuan melakukan reset pabrik, yang dilakukan aktor dalam situasi berikut:
- Peretasan telah berhasil diselesaikan, dan transaksi penipuan selesai (yaitu kredensial telah dieksfiltrasi).
- Aplikasi telah mendeteksi bahwa itu berjalan di lingkungan virtual, kemungkinan besar untuk analisis.
BRATA menggunakan reset pabrik sebagai saklar mematikan untuk perlindungan diri, tetapi karena mereka menghapus perangkat, mereka juga memperkenalkan kemungkinan kehilangan data yang tiba-tiba dan tidak dapat diubah untuk korban.
Terakhir, BRATA telah menambahkan saluran komunikasi baru untuk bertukar data dengan server C2 dan sekarang mendukung HTTP dan WebSockets.
Opsi WebSockets memberi aktor saluran langsung dan latensi rendah yang ideal untuk komunikasi waktu nyata dan eksploitasi manual langsung.
Selain itu, karena WebSockets tidak perlu mengirim header dengan setiap koneksi, volume lalu lintas jaringan yang mencurigakan berkurang, dan dengan perluasan, kemungkinan terdeteksi diminimalkan.
Cara Dasar untuk Tetap Aman dari Malware BRATA
BRATA hanyalah satu dari banyak trojan perbankan Android dan RAT tersembunyi yang beredar di alam liar, menargetkan kredensial perbankan orang.
Cara terbaik untuk menghindari terinfeksi oleh malware Android adalah menginstal aplikasi dari Google Play Store, menghindari APK dari situs web langsung, dan selalu memindainya dengan alat antivirus sebelum dibuka.
Selama penginstalan, perhatikan baik-baik izin yang diminta dan hindari memberikan izin apa pun yang tampaknya tidak perlu untuk fungsionalitas inti aplikasi.
Terakhir, pantau konsumsi baterai dan volume lalu lintas jaringan untuk mengidentifikasi lonjakan yang tidak dapat dijelaskan yang mungkin dikaitkan dengan proses berbahaya yang berjalan di latar belakang.[]