El malware para Android rastreado como BRATA ha sido actualizado con nuevas características que le otorgan la capacidad de rastrear la ubicación de los dispositivos e incluso realizar un restablecimiento de fábrica en un aparente intento de encubrir transferencias bancarias fraudulentas.
Las últimas variantes, detectadas a finales del año pasado, se distribuyen a través de un gestor de descargas para evitar ser detectadas por el software de seguridad, según explica la empresa italiana de ciberseguridad Cleafy en un informe técnico. Los objetivos incluyen bancos e instituciones financieras en el Reino Unido, Polonia, Italia y América Latina.
"Lo que hace que la RAT de Android sea tan interesante para los atacantes es su capacidad para operar directamente en los dispositivos de las víctimas en lugar de utilizar un nuevo dispositivo", señalaron los investigadores de Cleafy en diciembre de 2021. "Al hacerlo, los atacantes pueden reducir drásticamente la posibilidad de ser marcados "como sospechosos", ya que la huella digital del dispositivo ya es conocida por el banco".
Visto por primera vez en las redes a finales de 2018 y con la abreviatura de "Brazilian Remote Access Tool Android", BRATA se dirigió inicialmente a los usuarios de Brasil y luego evolucionó rápidamente a un troyano bancario repleto de características. A lo largo de los años, el malware ha recibido numerosas actualizaciones y cambios, a la vez que se ha hecho pasar por aplicaciones de escáner de seguridad para eludir su detección.
Las últimas muestras "a medida" de BRATA apuntan a diferentes países y constituyen un dropper inicial -una app de seguridad apodada "iSecurity"- que pasa desapercibida para prácticamente todos los motores de escaneo de malware y se utiliza para descargar y ejecutar el verdadero software malicioso.
"Después de que la víctima instala la app del downloader, requiere aceptar un solo permiso para descargar e instalar la aplicación maliciosa desde una fuente no confiable", dijeron los investigadores. "Cuando la víctima hace clic en el botón de instalación, la app downloader envía una petición GET al servidor C2 para descargar el .APK malicioso".
BRATA, al igual que otros troyanos bancarios observados en la web, es conocido por abusar de los permisos del Servicio de Accesibilidad obtenidos durante la fase de instalación para monitorizar la actividad del usuario en el dispositivo comprometido de forma sigilosa.
Además, las nuevas versiones han incorporado un mecanismo de kill switch que permite a los operadores restaurar el teléfono Android a su configuración de fábrica al completar con éxito una transferencia bancaria fraudulenta o en escenarios donde la aplicación se instala en un entorno virtual.
"BRATA está tratando de alcanzar nuevos objetivos y desarrollar nuevas características", dijeron los investigadores, añadiendo que los atacantes están "aprovechando este troyano bancario para realizar fraudes, normalmente a través de transferencias bancarias no autorizadas (por ejemplo, SEPA) o a través de Instant Payments, utilizando una amplia red de cuentas de mulas de dinero en múltiples países europeos."
Fuente: https://thehackernews.com/2022/01/mobile-banking-trojan-brata-gains-new.html