Las nuevas variantes del troyano bancario BRATA han estado apuntando a dispositivos Android globales desde noviembre con características avanzadas, incluida la capacidad de borrar dispositivos después de robar datos del usuario, rastrear dispositivos a través de GPS y técnicas novedosas de ofuscación, según descubrieron los investigadores.
El troyano de acceso remoto (RAT), que apunta a bancos e instituciones financieras, ahora se distribuye a través de un downloader para evitar ser detectado por soluciones antivirus (AV), escribieron investigadores de la firma de gestión de fraude Cleafy en un informe publicado el lunes. El malware se dirige actualmente a bancos e instituciones financieras en Italia, América Latina, Polonia y el Reino Unido, dijeron.
Los investigadores de Kaspersky descubrieron BRATA en enero de 2019, proliferando a través de la tienda Google Play y apuntando inicialmente a usuarios en Brasil. La RAT presentaba la capacidad única de recopilar y transmitir información bancaria a sus operadores en tiempo real.
Desde entonces, los actores detrás de RAT han continuado apuntando a instituciones financieras y agregando nuevas capacidades al malware. El equipo de Cleafy ha identificado tres nuevas variantes de BRATA que se han entregado a través de dos nuevas oleadas de muestras en los últimos meses, informaron los investigadores.
“La primera ola comenzó en noviembre de 2021 y la segunda alrededor de mediados de diciembre de 2021”, escribieron los investigadores. “Durante la segunda ola, los ciberdelincuentes comenzaron a usar algunas nuevas variantes personalizadas de BRATA en diferentes países”.
La más frecuente de las variantes observadas por los investigadores es BRATA.A, que tiene dos nuevas características clave, informaron los investigadores. Uno es el seguimiento por GPS de los dispositivos de las víctimas, una capacidad que "parece estar todavía en desarrollo", escribieron los investigadores. La RAT solicita permiso para usar el GPS en la instalación, pero no parece usarlo realmente durante la ejecución.
“Por esta razón, podríamos suponer que los desarrolladores de malware están solicitando este permiso para desarrollos futuros, muy probablemente para dirigirse a personas que pertenecen a países específicos o para habilitar otros mecanismos de retiro de efectivo (por ejemplo, cajeros automáticos sin tarjeta)”.
BRATA.A también cuenta con un "interruptor de apagado" que sirve para realizar un restablecimiento de fábrica del dispositivo en dos escenarios, este interruptor las víctimas tardaran mas tiempo en darse cuenta de la actividad maliciosa.
El segundo caso en el que BRATA borra un dispositivo es cuando la aplicación se instala en un entorno virtual, ya que la RAT "intenta evitar el análisis dinámico mediante la ejecución de esta función", escribieron los investigadores.
La segunda variante nueva observada por el equipo, BRATA.B, es casi idéntica a la variante A, excepto por la "ofuscación particular del código y el uso de páginas superpuestas personalizadas para robar el número de seguridad (o PIN) de la aplicación bancaria objetivo", según Cleafy.
Evitar la detección
BRATA.C es la tercera variante nueva y muestra una evolución en el método que utilizan sus operadores para evitar que los usuarios detecten la RAT en el momento de la instalación.
La variante utiliza un cuentagotas inicial para descargar y ejecutar la aplicación maliciosa "real" más tarde, lo que demuestra una forma única que se desvía de cómo otros actores de troyanos bancarios de Android intentan evadir la detección por parte de las soluciones AV, escribieron los investigadores.
Después de que la víctima instala la aplicación de descarga, requiere la aceptación de un solo permiso para descargar e instalar la aplicación maliciosa desde una fuente no confiable, dijeron los investigadores.
“Cuando la víctima hace clic en el botón de instalación, la aplicación de descarga envía una solicitud GET al servidor de comando y control (C2) para descargar el .APK malicioso”, explicaron: “En este punto, la víctima tiene dos aplicaciones maliciosas instaladas en su dispositivo”.
En general, los últimos hallazgos de Cleafy demuestran que los operadores de BRATA tienen como objetivo expandir su alcance regional de objetivos y planean desarrollar aún más el malware, con pocas señales de ceder en el futuro cercano, dijeron los investigadores.
“Podemos esperar que BRATA siga sin ser detectado y siga desarrollando nuevas funciones”, escribieron.
Para terminar recomendarles que tengan mucho cuidado con lo descarguen de internet, (este consejo creo que nunca pasará de moda) sobre todo en las máquinas que usen para trabajar o cosas importantes.
Este artículo es la traducción y adaptación de este artículo en inglés
No hay comentarios:
Publicar un comentario