El malware para Android rastreado como BRATA se ha actualizado con nuevas funciones que le otorgan la capacidad de registrar las pulsaciones del teclado, rastrear las ubicaciones de los dispositivos e incluso realizar un restablecimiento de fábrica en un aparente intento de encubrir transferencias bancarias fraudulentas.
Las últimas variantes, detectadas a finales del año pasado, se distribuyen a través de un descargador para evitar ser detectadas por el software de seguridad, según explica la empresa italiana de ciberseguridad Cleafy en un informe técnico. Los objetivos incluyen bancos e instituciones financieras en el Reino Unido, Polonia, Italia y América Latina.
«Lo que hace que la RAT de Android sea tan interesante para los atacantes es su capacidad para operar directamente en los dispositivos de las víctimas en lugar de utilizar un nuevo dispositivo», señalaron los investigadores de Cleafy en diciembre de 2021. «Al hacerlo, los actores de amenazas (TA) pueden reducir drásticamente la posibilidad de ser marcados ‘como sospechosos’, ya que la huella digital del dispositivo ya es conocida por el banco».
Visto por primera vez en la naturaleza a finales de 2018 y con la abreviatura de «Brazilian Remote Access Tool Android», BRATA se dirigió inicialmente a los usuarios de Brasil y luego evolucionó rápidamente en un troyano bancario repleto de características. A lo largo de los años, el malware ha recibido numerosas actualizaciones y cambios, mientras que también se hace pasar por aplicaciones de escáner de seguridad para eludir la detección.
BRATA se propaga a través de mensajes de smishing que suplantan a un banco y contienen un enlace a un sitio web malicioso, donde se engaña a la víctima para que descargue una aplicación antispam. A continuación, los estafadores llaman al objetivo y emplean esquemas de ingeniería social para persuadir al usuario de que instale la aplicación troyana y le conceda permisos excesivamente intrusivos.
Las últimas muestras «a medida» de BRATA apuntan a diferentes países y constituyen un dropper inicial -una aplicación de seguridad apodada «iSecurity«- que pasa desapercibida para prácticamente todos los motores de escaneo de malware y se utiliza para descargar y ejecutar el verdadero software malicioso.
«Después de que la víctima instala la app del descargador, se requiere aceptar un solo permiso para descargar e instalar la aplicación maliciosa desde una fuente no confiable», dijeron los investigadores. «Cuando la víctima hace clic en el botón de instalación, la app downloader envía una petición GET al servidor C2 para descargar el .APK malicioso».
BRATA, al igual que otros troyanos bancarios observados en la naturaleza, es conocido por abusar de sus permisos del Servicio de Accesibilidad obtenidos durante la fase de instalación para monitorizar la actividad del usuario en el dispositivo comprometido de forma sigilosa.
Además, las nuevas versiones han incorporado un mecanismo de desactivación que permite a los operadores restaurar el teléfono Android a su configuración de fábrica al completar con éxito una transferencia bancaria ilícita o en escenarios en los que la aplicación se instala en un entorno virtual, borrando efectivamente las pruebas forenses del origen del ataque y evadiendo los intentos de ingeniería inversa de su código.
«BRATA está tratando de alcanzar nuevos objetivos y desarrollar nuevas funciones», dijeron los investigadores, añadiendo que los actores de la amenaza están «aprovechando este troyano bancario para realizar fraudes, normalmente a través de transferencias bancarias no autorizadas (por ejemplo, SEPA) o a través de Instant Payments, utilizando una amplia red de cuentas de mulas de dinero en múltiples países europeos.»