Una nueva versión del malware BRATA implementa una funcionalidad para realizar un restablecimiento de fábrica del dispositivo para borrar todos los datos.
La nueva versión del malware BRATA para Android incorpora nuevas características, como el rastreo por GPS y una funcionalidad para realizar un restablecimiento de fábrica del dispositivo.
Los expertos en seguridad de Kaspersky descubrieron la RAT Android BRATA (el nombre viene de 'Brazilian RAT Android') en 2019, cuando se utilizó para espiar a los usuarios brasileños. El RAT BRATA fue detectado por primera vez en enero de 2019 mientras se propagaba a través de mensajes de WhatsApp y SMS.
El RAT se distribuyó a través de la tienda oficial Google Play Store y también a través de tiendas de aplicaciones Android no oficiales.
La mayoría de las apps contaminadas se hacen pasar por una actualización de la popular aplicación de mensajería instantánea WhatsApp que solucionaría el fallo CVE-2019-3568 de la aplicación de mensajería instantánea. Una vez que el malware ha infectado el dispositivo de la víctima, iniciará la función de keylogging, mejorándola con una funcionalidad de streaming en tiempo real. El malware aprovecha la función del Servicio de Accesibilidad de Android para interactuar con otras aplicaciones instaladas en el dispositivo de la víctima.
BRATA admite muchos comandos, como desbloquear los dispositivos de las víctimas, recopilar información del dispositivo, apagar la pantalla del dispositivo para ejecutar tareas en segundo plano de forma encubierta, ejecutar cualquier aplicación particular y desinstalarse y eliminar cualquier rastro de infección.
El 2021 de diciembre, los investigadores de la empresa de seguridad Cleafy detectaron una nueva variante dirigida a los usuarios bancarios de Android en Europa para robar sus credenciales. Ahora los mismos investigadores han encontrado una nueva variante que implementa las nuevas características descritas anteriormente.
La última versión de la RAT de Android se dirige a los usuarios de banca electrónica del Reino Unido, Polonia, Italia, España, China y América Latina. Utiliza páginas superpuestas a medida para dirigirse a aplicaciones bancarias específicas y robar el PIN del usuario.
Todas las variantes utilizan técnicas de ofuscación similares que permiten a la amenaza evitar su detección.
A continuación se muestra la lista de las nuevas características de las últimas versiones de BRATA:
- Capacidad para realizar el restablecimiento de fábrica del dispositivo: parece que las TAs están aprovechando esta característica para borrar cualquier rastro, justo después de un intento de transferencia no autorizada.
- Capacidad de rastreo por GPS
- Capacidad de utilizar múltiples canales de comunicación (HTTP y TCP) entre el dispositivo y el servidor C2 para mantener una conexión persistente.
- Capacidad de monitorizar continuamente la aplicación bancaria de la víctima mediante técnicas de VNC y keylogging.
Los expertos creen que la función de restablecimiento de fábrica permite a los atacantes eliminar cualquier rastro cuando el ataque se ha completado o cuando la aplicación detecta que se está ejecutando en un entorno virtual utilizado para analizarla.
"este mecanismo representa un interruptor de muerte para este malware", afirma el informe. "De hecho, también se ha observado que esta función se ejecuta en dos casos:
- Un fraude bancario se ha completado con éxito. De este modo, la víctima va a perder aún más tiempo antes de comprender que se ha producido una acción maliciosa.
- La aplicación se instala en un entorno virtual. BRATA intenta evitar el análisis dinámico mediante la ejecución de esta función.
La reciente evolución de la RAT BRATA sugiere que los atacantes continúan mejorándola en el intento de ampliar su audiencia de objetivos potenciales.
Fuente: https://securityaffairs.co/wordpress/127131/cyber-crime/new-android-brata-rat.html?web_view=true