BRATA: El malware de Android que roba datos y reestablece el dispositivo

El ya conocido malware en Android ‘BRATA’ ha vuelto con nuevas y peligros funciones en su última versión. Ahora es capaz de rastrear la ubicación del dispositivo, se comunica por distintos canales a la vez, y la guinda del pastel, el restablecimiento de fábrica del dispositivo para borrar todas las huellas y tus datos.

El malware BRATA fue descubierto por primera vez por Kaspersky en 2019 como un RAT (herramienta de control remoto) de Android con Brasil como principal objetivo en su primera ‘campaña’. En diciembre de 2021 un informe de Cleafy mostró la presencia de este malware en el continente europeo, donde apuntaba a robar las credenciales de acceso a apps bancarias.

Los analistas de Cleafy han seguido hasta ahora monitorizando la actividad de BRATA, y nos traen las novedades que ha incluido en el código del malware.

Versiones diferentes para diferentes públicos

Las versiones actuales del malware BRATA están todas dirigidas a la obtención de credenciales de apps bancarias de usuarios de Reino Unido, Polonia, Italia, España, China y América del Sur.

Cada variante se enfoca a los distintos bancos más populares en un país determinado.

Los autores de BRATA utilizan técnicas de ofuscación similares en todas las versiones, como envolver el archivo APK en un paquete JAR o DEX encriptado.

Esta ofuscación elude con éxito las detecciones antivirus, como se ilustra en el análisis de VirusTotal a continuación.

En ese aspecto, BRATA ahora busca activamente signos de presencia de Antivirus en el dispositivo e intenta eliminar las herramientas de seguridad detectadas antes de continuar con el paso de exfiltración de datos.

Nuevas características

Las nuevas funciones detectadas por los investigadores de Cleafy en las últimas versiones de BRATA incluyen el de registro de teclas pulsadas, que complementa la función de captura de pantalla existente.

Aunque su propósito exacto sigue siendo un misterio para los analistas, todas las nuevas variantes también cuentan con rastreo GPS. La más aterradora de las nuevas características es la realización de restablecimiento de fábrica del dispositivo, que los autores realizan cuando:

  • El ataque se completa con éxito y se obtienen los datos de acceso bancarios.La aplicación ha detectado que se ejecuta en un entorno virtual, muy probablemente para su análisis.
  • La aplicación ha detectado que se ejecuta en un entorno virtual, muy probablemente para su análisis.

BRATA utiliza los restablecimientos de fábrica como un interruptor de apagado para la autoprotección, pero dado que borran el dispositivo, también presentan la posibilidad de una pérdida de datos repentina e irreversible para la víctima.

Además, BRATA ha agregado nuevos canales de comunicación para intercambiar datos con el servidor C2 y ahora es compatible con HTTP y WebSockets.

La opción de WebSockets brinda a los actores un canal directo y de baja latencia que es ideal para la comunicación en tiempo real y la explotación manual en vivo.

Además, debido a que WebSockets no necesita enviar encabezados con cada conexión, se reduce el volumen de tráfico de red sospechoso y, por extensión, se minimizan las posibilidades de ser detectado.

Recomendaciones para mantenerse a salvo

BRATA es solo uno de los muchos troyanos bancarios de Android y RAT sigilosos que se dirigen a las credenciales bancarias de las personas. La mejor manera de evitar ser infectado por el malware de Android es siempre instalar aplicaciones de Google Play Store, evitar los APK de sitios web dudosos y escanearlos siempre con una herramienta Antivirus antes de abrirlos.

Es importante prestar atención a los permisos solicitados durante la instalación y uso de una aplicación. Evita otorgar permisos que parezcan innecesarios para la funcionalidad principal de una aplicación.

La mejor manera de mantener un dispositivo protegido es gracias a un software Antivirus que sea capaz de filtrar todas las nuevas aplicaciones antes de instalarlas, y que además proteja las conexiones hacia internet, especialmente en las aplicaciones de banca online.

Si aún no tienes antivirus en tu Android, te recomiendo que pruebes ESET Mobile Security, es un software que además de escanear todo el dispositivo a tiempo real, es capaz de bloquear el acceso de forma remota en caso de pérdida o robo. Protege las compras y el acceso a la banca online, analiza tu red wifi-local, bloquea el uso de aplicaciones, e incorpora filtros Antiphishing y filtro de llamadas AntiSpam.

vía bleepingcomputer

También te podría gustar...

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock