El malware de Android rastreado como BRATA se actualizó con nuevas funciones que le otorgan la capacidad de rastrear las ubicaciones de los dispositivos e incluso realizar un restablecimiento de fábrica en un aparente intento de encubrir transferencias bancarias fraudulentas.
Se dice que las últimas variantes, detectadas a fines del año pasado, se distribuyen a través de un descargador para evitar que el software de seguridad las detecte, dijo la firma italiana de ciberseguridad Cleafy en un comunicado. redacción técnica. Los objetivos incluyen bancos e instituciones financieras en el Reino Unido, Polonia, Italia y América Latina.
«Lo que hace que Android RAT sea tan interesante para los atacantes es su capacidad para operar directamente en los dispositivos de las víctimas en lugar de usar un nuevo dispositivo», investigadores de Cleafy. señalado en diciembre de 2021. «Al hacerlo, los Threat Actors (TA) pueden reducir drásticamente la posibilidad de ser marcados como «sospechosos», ya que el banco ya conoce las huellas dactilares del dispositivo».
Visto por primera vez en la naturaleza a fines de 2018 y abreviatura de «Brazilian Remote Access Tool Android», BRATA inicialmente se dirigió a usuarios en Brasil y luego evolucionó rápidamente hasta convertirse en un troyano bancario repleto de funciones. Desde entonces, el malware ha recibido numerosas actualizaciones y cambios, al mismo tiempo que se hace pasar por aplicaciones de escaneo de seguridad para eludir la detección.
Las últimas muestras «a medida» del conjunto BRATA apuntan a diferentes países y constituyen un cuentagotas inicial: una aplicación de seguridad denominada «iSeguridad«, que permanece sin ser detectado por prácticamente todos los motores de análisis de malware y se utiliza para descargar y ejecutar el software malicioso real.
«Después de que la víctima instala la aplicación de descarga, requiere aceptar solo un permiso para descargar e instalar la aplicación maliciosa de una fuente no confiable», dijeron los investigadores. «Cuando la víctima hace clic en el botón de instalación, la aplicación de descarga envía una solicitud GET al servidor C2 para descargar el .APK malicioso».
Se sabe que BRATA, al igual que otros troyanos bancarios observados en la naturaleza, abusa de los permisos del Servicio de Accesibilidad obtenidos durante la fase de instalación para monitorear la actividad del usuario en el dispositivo comprometido de manera sigilosa.
Además, las nuevas versiones han incorporado un mecanismo de interrupción que permite a los operadores restaurar el teléfono Android a su configuración de fábrica al completar con éxito una transferencia bancaria fraudulenta o en escenarios donde la aplicación está instalada en un entorno virtual.
«BRATA está tratando de llegar a nuevos objetivos y desarrollar nuevas características», dijeron los investigadores, y agregaron que los actores de amenazas están «aprovechando este troyano bancario para realizar fraudes, generalmente a través de transferencias bancarias no autorizadas (por ejemplo, SEPA) o pagos instantáneos, utilizando una amplia red de cuentas de mulas de dinero en múltiples países europeos».
