Diario Informe

El malware BRATA Android borra su dispositivo después de robar datos

El malware de Android conocido como BRATA ha agregado nuevas características peligrosas a su última versión, incluido el rastreo GPS, la capacidad de usar múltiples canales de comunicación y una función que realiza un restablecimiento de fábrica en el dispositivo para borrar todos los rastros de actividades maliciosas.

BRATA fue descubierto por primera vez por Kaspersky en 2019 como una RAT (herramienta de acceso remoto) de Android dirigida principalmente a usuarios brasileños.

En diciembre de 2021, un informe de Cleafy destacó la aparición de malware en Europa, donde se vio que se dirigía a usuarios de banca electrónica y robaba sus credenciales con la participación de estafadores que se hacían pasar por agentes de servicio al cliente bancario.

Los analistas de Cleafy continuaron monitoreando BRATA en busca de nuevas características y, en un nuevo informe publicado hoy, ilustran cómo el malware continúa evolucionando.

Índice de contenidos
  1. Versiones personalizadas para diferentes audiencias
  2. Nuevas características
  3. Maneras básicas de mantenerse a salvo

Versiones personalizadas para diferentes audiencias

Las últimas versiones del malware BRATA ahora están dirigidas a usuarios de banca electrónica en el Reino Unido, Polonia, Italia, España, China y América Latina.

Cada variante se enfoca en diferentes bancos con conjuntos de superposición dedicados, idiomas e incluso diferentes aplicaciones para dirigirse a audiencias específicas.

Variantes de BRATA que circulan en diferentes países
Variantes de BRATA que circulan en diferentes países
Fuente: Cleafy

Los autores usan técnicas de ofuscación similares en todas las versiones, como envolver el archivo APK en un paquete JAR o DEX encriptado.

Esta ofuscación elude con éxito las detecciones antivirus, como se ilustra en el análisis de VirusTotal a continuación.

Tasa de detección de muestra más reciente
Tasa de detección de muestra más reciente
Fuente: Cleafy

En este frente, BRATA ahora busca activamente signos de AV en el dispositivo e intenta eliminar las herramientas de seguridad detectadas antes de continuar con el paso de exfiltración de datos.

Herramientas AV eliminadas de BRATA
Herramientas AV eliminadas de BRATA
Fuente: Cleafy

Nuevas características

Las nuevas características identificadas por los investigadores de Cleafy en las últimas versiones de BRATA incluyen registro de llaves funcionalidad, que complementa la función de captura de pantalla existente.

Si bien su propósito exacto sigue siendo un misterio para los analistas, todas las variantes nuevas también lo tienen. rastreo gps.

La más aterradora de las nuevas funciones maliciosas se está ejecutando restablecimiento de fábrica, que los actores interpretan en las siguientes situaciones:

  1. El compromiso se completó con éxito y la transacción fraudulenta finalizó (es decir, se exfiltraron las credenciales).
  2. La aplicación ha detectado que se está ejecutando en un entorno virtual, muy probablemente para su análisis.

BRATA utiliza los restablecimientos de fábrica como un interruptor de apagado para la autoprotección, pero a medida que borran el dispositivo, también introducen la posibilidad de una pérdida de datos repentina e irreversible para la víctima.

Función de restablecimiento de fábrica
Función de restablecimiento de fábrica
Fuente: Cleafy

Finalmente, agregó BRATA nuevos canales de comunicación para intercambiar datos con el servidor C2 y ahora es compatible con HTTP y WebSocket.

Comunicación con C2 en la nueva BRATA
Comunicación con C2 en la nueva BRATA
Fuente: Cleafy

La opción WebSocket ofrece a los actores un canal directo de baja latencia, ideal para la comunicación en tiempo real y la explotación manual en vivo.

Además, debido a que WebSockets no necesita enviar encabezados con cada conexión, se reduce el volumen de tráfico de red sospechoso y, por extensión, se minimizan las posibilidades de ser detectado.

Maneras básicas de mantenerse a salvo

BRATA es solo uno de los muchos troyanos bancarios y RAT sigilosos de Android que circulan de forma salvaje y se dirigen a las credenciales bancarias de las personas.

La mejor manera de evitar infectarse con malware de Android es instalar aplicaciones de Google Play Store, evitar APK de sitios web dudosos y escanearlos siempre con una herramienta AV antes de abrirlos.

Durante la instalación, preste mucha atención a los permisos requeridos y evite otorgar aquellos que parezcan innecesarios para la funcionalidad principal de la aplicación.

Permiso de restablecimiento de fábrica requerido por la aplicación BRATA conectada
Permiso de restablecimiento de fábrica requerido por la aplicación BRATA conectada
Fuente: Cleafy

Finalmente, monitorea el consumo de batería y los volúmenes de tráfico de la red para identificar picos inexplicables que podrían atribuirse a procesos maliciosos que se ejecutan en segundo plano.

Descubre más contenido

Subir Change privacy settings