【安全资讯】BRATA恶意软件伪装成APP安全扫描程序进行传播

McAfee的研究人员近期发现了Android恶意软件家族BRATA的多个新变种，这些变种伪装成安全扫描程序在Google Play中进行传播。应用安装后，恶意软件会提示用户更新Chrome、WhatsApp或PDF阅读器，但实际上并不会真的进行更新，而是滥用辅助功能以控制用户设备。此次BRATA恶意活动还提供了针对巴西、美国和西班牙金融实体用户的网络钓鱼页面。

BRATA将自身伪装成安全扫描程序。恶意软件在运行后会假装扫描已安装的应用程序，实际上却在后台检查用户设备中是否安装了目标应用程序。如果检查到，它将根据用户设置的语言，提示用户安装特定的应用程序进行虚假更新。对于将语言设置为英语的用户，BRATA将建议其安装Chrome虚假更新，并在屏幕顶部不断弹出要求用户激活辅助功能的通知：

Google Play中的DefenseScreen应用程序

用户点击“UPDATE NOW!”后，BRATA会在Android设置中打开主辅助功能选项，要求用户手动查找恶意服务，并授予其使用辅助功能的权限。当用户尝试执行此操作时，Android会警告向特定应用授予可访问性服务权限的潜在风险，包括该应用可以观察您的操作、从Windows检索内容，并执行轻击、滑动和捏合等手势。

用户点击确定后，将不再弹出新通知。此外应用程序的主图标将被隐藏，并显示“Updating”字样的黑屏，从而隐藏其在后台执行的恶意操作。

  BRATA显示“正在更新”字样的全黑屏幕，从而隐藏其在后台执行的恶意操作。

该应用程序将在后台与攻击者控制的C2服务器进行通信，从而接收下一步指令。用户在授予该应用程序在访问权限后，将进入以下界面：

BRATA尝试窃取设备的PIN并确认是否正确

该界面由恶意软件创建旨在窃取设备PIN，以在无人使用手机时利用窃取的密码解锁手机。该界面要求用户输入PIN进行验证，当输入错误时会提示密码错误，直到用户输入正确的PIN时该屏幕才会消失。

一旦恶意应用程序成功执行，并获得设备访问权限时，BRATA几乎可以在被感染的设备中执行所有操作，主要包括：

● 窃取锁屏PIN/密码/图案
● 截取设备屏幕并发送到远程服务器
● 通过滥用辅助功能与用户界面进行交互
● 使用窃取的PIN/密码/图案解锁设备
● 设置开机启动/计划任务，以打开远程服务器提供的特定活动
● 开始/停止键盘记录
● 在可编辑字段中注入由远程服务器提供的字符串
● 将铃声音量设置为0，并创建全黑屏幕以隐藏来电
● 在剪贴板中注入由远程服务器提供的字符串

结论：

BRATA恶意软件家族的早期变种仅针对巴西用户，只有当设备语言为葡萄牙语时才会执行。但是，研究人员在6月发现BRATA背后的攻击者开始增加对西班牙语和英语等其他语言的支持。BRATA将根据设备中设置的语言，发送以下三个应用之一的紧急更新提示：WhatsApp(西班牙语)，不存在的PDF阅读器(葡萄牙语)和Chrome(英语)。

除此之外，研究人员还发现攻击者在攻击目标列表中添加了一些西班牙和美国的金融应用程序。九月份，目标列表中有大约52个应用程序，但只有32个具有网络钓鱼地址。此外，最新的目标列表中所显示的20个美国银行应用程序中，只有5个具有钓鱼地址。以下是其中的一个钓鱼网站示例，当受感染的设备中存在特定的美国银行应用程序时，将会向用户显示该钓鱼网站。