RAT Android BRATA Digunakan untuk Memata-matai Pengguna Brasil
Alat akses jarak jauh Android (RAT) jahat baru yang dijuluki BRATA diamati oleh para peneliti Kaspersky ketika menyebar melalui WhatsApp dan pesan SMS untuk menginfeksi dan memata-matai pengguna Brasil. RAT baru diberi nama berdasarkan deskripsi "Android RAT Android" oleh peneliti Tim Penelitian & Analisis Global (GReAT) Kaspersky yang melihatnya di alam liar pada bulan Januari.
Hingga saat ini, para peneliti telah menemukan lebih dari 20 varian BRATA unik di aplikasi Android yang dikirimkan melalui Google Play Store, dan beberapa juga telah ditemukan di toko aplikasi Android tidak resmi.
Operator BRATA telah menggunakan beberapa vektor infeksi termasuk pemberitahuan push yang dikirim melalui situs web yang dikompromikan, serta "pesan yang dikirimkan melalui WhatsApp atau SMS, dan tautan sponsor dalam pencarian Google."
Namun, seperti yang ditemukan oleh para peneliti lebih lanjut, sebagian besar varian BRATA yang terlihat di alam liar disamarkan sebagai pembaruan untuk aplikasi WhatsApp yang sangat populer.
Setelah diunduh dan dieksekusi, beberapa pembaruan palsu akan mengeksploitasi kerentanan WhatsApp CVE-2019-3568 untuk menginfeksi perangkat Android dari pengguna Brasil yang ditargetkan.
"Setelah perangkat korban terinfeksi, 'BRATA' mengaktifkan fitur keylogging-nya, meningkatkannya dengan fungsi streaming real-time," temukan para peneliti. "Ini menggunakan fitur Layanan Aksesibilitas Android untuk berinteraksi dengan aplikasi lain yang diinstal pada perangkat pengguna."
Di antara kemampuan yang dimiliki BRATA, RAT memungkinkan operatornya untuk membuka kunci perangkat korbannya, untuk mengumpulkan informasi perangkat, mematikan layar perangkat untuk menjalankan tugas secara diam-diam di latar belakang, dan menghapus instalasi itu sendiri dan menghilangkan jejak infeksi.
Para peneliti Kaspersky memberikan indikator kompromi (IOC) untuk BRATA RAT dalam bentuk sampel hash MD5 di akhir tulisan mereka.
RAT adalah alat serangan populer bulan ini
Penyerang telah menggunakan beberapa rasa RAT untuk menyerang berbagai jenis target bulan ini saja, dengan pemerintah dan entitas keuangan menjadi sasaran dengan Revenge dan Orcus Remote Access Trojan, sementara kampanye phishing terpisah menggunakan lampiran resume palsu untuk mengirimkan muatan RAT Quasar.
Pekan lalu, entitas industri utilitas diserang oleh aktor ancaman dengan Adwind RAT (juga dikenal sebagai jRAT, AlienSpy, JSocket, dan Sockrat).
Beberapa entitas dari Balkan juga menjadi target dengan kombinasi backdoor dan RAT baru bernama BalkanDoor dan BalkanRAT oleh para peneliti ESET yang pertama kali melihat serangan itu.
Pada awal Agustus, kit exploit baru didistribusikan melalui malvertising dan dijuluki Lord EK menyalahgunakan jaringan iklan PopCash untuk menjatuhkan muatan njRAT setelah mengeksploitasi kerentanan penggunaan-setelah-bebas Adobe Flash.
Beberapa hari sebelumnya. Peneliti Tim Proofpoint Threat Insight melaporkan deteksi RAT baru yang dijuluki LookBack melalui kampanye spear-phishing dan menyerang karyawan tiga entitas industri utilitas A.S.
 |
| RAT Android BRATA Digunakan untuk Memata-matai Pengguna Brasil |
Hingga saat ini, para peneliti telah menemukan lebih dari 20 varian BRATA unik di aplikasi Android yang dikirimkan melalui Google Play Store, dan beberapa juga telah ditemukan di toko aplikasi Android tidak resmi.
Operator BRATA telah menggunakan beberapa vektor infeksi termasuk pemberitahuan push yang dikirim melalui situs web yang dikompromikan, serta "pesan yang dikirimkan melalui WhatsApp atau SMS, dan tautan sponsor dalam pencarian Google."
Namun, seperti yang ditemukan oleh para peneliti lebih lanjut, sebagian besar varian BRATA yang terlihat di alam liar disamarkan sebagai pembaruan untuk aplikasi WhatsApp yang sangat populer.
Setelah diunduh dan dieksekusi, beberapa pembaruan palsu akan mengeksploitasi kerentanan WhatsApp CVE-2019-3568 untuk menginfeksi perangkat Android dari pengguna Brasil yang ditargetkan.
"Setelah perangkat korban terinfeksi, 'BRATA' mengaktifkan fitur keylogging-nya, meningkatkannya dengan fungsi streaming real-time," temukan para peneliti. "Ini menggunakan fitur Layanan Aksesibilitas Android untuk berinteraksi dengan aplikasi lain yang diinstal pada perangkat pengguna."
Di antara kemampuan yang dimiliki BRATA, RAT memungkinkan operatornya untuk membuka kunci perangkat korbannya, untuk mengumpulkan informasi perangkat, mematikan layar perangkat untuk menjalankan tugas secara diam-diam di latar belakang, dan menghapus instalasi itu sendiri dan menghilangkan jejak infeksi.
Para peneliti Kaspersky memberikan indikator kompromi (IOC) untuk BRATA RAT dalam bentuk sampel hash MD5 di akhir tulisan mereka.
RAT adalah alat serangan populer bulan ini
Penyerang telah menggunakan beberapa rasa RAT untuk menyerang berbagai jenis target bulan ini saja, dengan pemerintah dan entitas keuangan menjadi sasaran dengan Revenge dan Orcus Remote Access Trojan, sementara kampanye phishing terpisah menggunakan lampiran resume palsu untuk mengirimkan muatan RAT Quasar.
Pekan lalu, entitas industri utilitas diserang oleh aktor ancaman dengan Adwind RAT (juga dikenal sebagai jRAT, AlienSpy, JSocket, dan Sockrat).
Beberapa entitas dari Balkan juga menjadi target dengan kombinasi backdoor dan RAT baru bernama BalkanDoor dan BalkanRAT oleh para peneliti ESET yang pertama kali melihat serangan itu.
Pada awal Agustus, kit exploit baru didistribusikan melalui malvertising dan dijuluki Lord EK menyalahgunakan jaringan iklan PopCash untuk menjatuhkan muatan njRAT setelah mengeksploitasi kerentanan penggunaan-setelah-bebas Adobe Flash.
Beberapa hari sebelumnya. Peneliti Tim Proofpoint Threat Insight melaporkan deteksi RAT baru yang dijuluki LookBack melalui kampanye spear-phishing dan menyerang karyawan tiga entitas industri utilitas A.S.
While both rats and mice gnaw on wood, rats leave much larger tooth marks than mice do. הרחקת יונים
ReplyDelete