El malware BRATA que borra Android se está convirtiendo en una amenaza persistente

El actor de amenazas detrás del troyano bancario BRATA ha evolucionado sus tácticas y mejorado el malware con capacidades de robo de información.

La empresa italiana de seguridad móvil Cleafy ha estado rastreando la actividad de BRATA y notó en las campañas más recientes cambios que conducen a una mayor permanencia en el dispositivo.

"El modus operandi ahora encaja en un patrón de actividad de Amenaza Persistente Avanzada (APT)", explica Cleafy en un informe esta semana.

"Este término se utiliza para describir una campaña de ataque en la que los delincuentes establecen una presencia a largo plazo en una red específica para robar información confidencial".

El malware en sí también se actualizó con nuevas técnicas de phishing, nuevas clases para solicitar permisos adicionales en el dispositivo y ahora también elimina una carga útil de segunda etapa del servidor de comando y control (C2).

detection-volumes

Campañas dirigidas

El malware BRATA también está más dirigido, ya que los investigadores descubrieron que se enfoca en una institución financiera a la vez y solo cambia a una diferente cuando sus ataques se vuelven ineficientes por las contramedidas.

Por ejemplo, BRATA ahora viene precargado con una sola superposición de phishing en lugar de adquirir una lista de aplicaciones instaladas y obtener las inyecciones correctas del C2.

overlay

Esto minimiza el tráfico de red malicioso y las interacciones con el dispositivo host.

En una versión más reciente, BRATA agrega más permisos que le permiten enviar y recibir SMS, lo que puede ayudar a los atacantes a robar códigos temporales como contraseñas de un solo uso (OTP) y autenticación de dos factores (2FA) que los bancos envían a sus clientes.

Después de anidar en un dispositivo, BRATA obtiene un archivo ZIP del servidor C2 que contiene un paquete JAR ("unrar.jar").

Esta utilidad de registro de teclas monitorea los eventos generados por la aplicación y los almacena localmente en el dispositivo con los datos de texto y una marca de tiempo correspondiente.

keylogger

Los analistas de Cleafy vieron señales de que esta herramienta aún se encuentra en desarrollo temprano y los investigadores creen que el objetivo final del autor es abusar del Servicio de Accesibilidad para obtener datos de otras aplicaciones.

La evolución BRATA

BRATA comenzó como un troyano bancario en Brasil en 2019, capaz de realizar capturas de pantalla, instalar nuevas aplicaciones y apagar la pantalla para que el dispositivo parezca apagado.

En junio de 2021, BRATA hizo su primera aparición en Europa, utilizando aplicaciones antispam falsas como señuelo y empleando agentes de soporte falsos  que defraudaban a las víctimas y las engañaban para que les dieran el control total de sus dispositivos.

En enero de 2022, surgió una nueva versión de BRATA, que utiliza rastreo GPS, múltiples canales de comunicación C2 y versiones personalizadas para clientes bancarios en diferentes países. Esa versión también presentaba un comando de restablecimiento de fábrica que borraba los dispositivos después de que todos los datos habían sido robados .

Ahora, además de la nueva versión de BRATA y el cambio de táctica, Cleafy también ha encontrado un nuevo proyecto: una aplicación para robar SMS que se comunica con la misma infraestructura C2.

brata-sms

Utiliza el mismo marco que BRATA y los mismos nombres de clase, pero parece estar enfocado solo en desviar mensajes de texto cortos. Actualmente, se dirige al Reino Unido, Italia y España.

Para interceptar los SMS entrantes, la aplicación le pide al usuario que la configure como la aplicación de mensajería predeterminada y también solicita permiso para acceder a los contactos en el dispositivo.

permissions(2)

Por ahora, no está claro si esto es solo un experimento de un esfuerzo del equipo de BRATA para crear aplicaciones más simples dedicadas a roles específicos.

Lo que está claro es que BRATA sigue evolucionando con una cadencia de unos dos meses. Es imperativo mantenerse alerta, mantener su dispositivo actualizado y evitar instalar aplicaciones de fuentes no oficiales o sospechosas.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies