Le cheval de Troie BRATA d'origine brésilienne, conçu pour voler les coordonnées bancaires des utilisateurs, a été réinventé et a reçu une nouvelle variante qu'il a apportée en Espagne et au restaurant depuis l'Europe grâce à de nouvelles techniques visant à voler les informations de compte et de carte de crédit. Le virus, qui ne représente une menace que pour les appareils Android, a été découvert en 2019 et, comme tant d'autres codes similaires, n'a cessé de muter depuis afin de rester efficace contre les cibles des développeurs.
Le danger de BRATA est d'une telle ampleur qu'il en est venu à être considéré comme une menace persistante avancée (APT) en raison de ses modèles d'activité récents, selon les experts de la société de cybersécurité mobile Cleafy dans leur dernier rapport.
Cette nature nouvellement publiée implique la mise en place d'une campagne de cyberattaque à long terme qui se concentre sur le vol d'informations sensibles à ses victimes. En réalité, BRATA a ciblé les institutions financières, les attaquant une à la fois. Selon les informations de Cleafy, ses principaux objets sont l'Espagne, l'Italie et le Royaume-Uni.
Les chercheurs de l'étude ont trouvé la variante actuelle de BRATA sur le territoire européen ces derniers mois, où elle se fait passer pour une entité bancaire spécifique et a déployé trois nouvelles capacités. Comme beaucoup d'autres, les développeurs créent une page malveillante qui tente de se faire passer pour l'entité bancaire officielle pour tromper l'utilisateur. Le but des cybercriminels est de voler les informations d'identification de leurs victimes. Pour ce faire, ils envoient un SMS se faisant passer pour l'entité, généralement avec un message qui cherche à les alarmer afin qu'ils agissent sans réfléchir à deux fois et cliquent.
La nouvelle variante de BRATA agit également via une "application" de messagerie malveillante avec laquelle elle partage la même infrastructure. Une fois installée sur l'appareil, l'application demande à l'utilisateur de devenir son « appli » de messagerie par défaut. Si elle est acceptée, l'autorité sera suffisante pour intercepter les messages entrants, car ils seront envoyés par les banques pour exiger des codes à usage unique et un double facteur d'authentification.
Cette nouvelle fonctionnalité peut être combinée avec la page bancaire recréée par les cybercriminels pour inciter l'utilisateur à accéder à ses informations bancaires.
En plus de voler les informations d'identification bancaires et de surveiller les messages entrants, les experts de Cleafy soupçonnent que la nouvelle variante BRATA est conçue pour propager sa menace dans l'ensemble de l'appareil et détourner les données d'autres applications, et qu'une fois installée, l'"application malveillante" télécharge une charge utile externe qui abuse le Service Accessibilité.
