imágenes falsas
El troyano de fraude bancario que ha estado atacando a los usuarios de Android durante tres años se ha actualizado para causar aún más dolor. Además de drenar las cuentas bancarias, el troyano ahora puede activar un interruptor de interrupción que realiza un restablecimiento de fábrica y limpia el dispositivo infectado.
Bratta se registró por primera vez en postal El informe de la firma de seguridad Kaspersky dice que el malware de Android se ha estado propagando desde al menos enero de 2019. El malware se propaga principalmente a través de Google Play, pero también a través de mercados de terceros, notificaciones automáticas en sitios web infectados, enlaces patrocinados en Google y a través de WhatsApp o mensajes de texto. En ese momento, Bratta apuntaba a personas con cuentas bancarias brasileñas.
encubrir sus rastros maliciosos
Ahora, Brata está de vuelta con una gran cantidad de funciones nuevas, entre las que destaca la capacidad de realizar un restablecimiento de fábrica en un dispositivo infectado para eliminar cualquier rastro de malware después de intentar una transferencia bancaria no autorizada. Empresa de seguridad Cleafy Labs El interruptor de apagado se informó por primera vez, lo que indica que otras características agregadas recientemente a Brata incluyen rastreo GPS, comunicación mejorada con servidores de control, la capacidad de monitorear continuamente las aplicaciones bancarias de las víctimas y la capacidad de apuntar a cuentas bancarias ubicadas en otros países. El troyano ahora funciona con bancos ubicados en Europa, EE. UU. y América Latina.
“Kaspersky descubrió por primera vez un troyano de acceso remoto (RAT) dirigido a usuarios de Android en Brasil en 2019, y se actualizó para más víctimas potenciales, agregando el interruptor A para cubrir su rastro malicioso”. postal Confirmó los hallazgos de Cleafy. “Después de que el malware infecta y realiza con éxito una transferencia bancaria desde la aplicación bancaria de la víctima, forzará el restablecimiento de fábrica del dispositivo de la víctima”.
Esta vez, no hay evidencia de que el malware se esté distribuyendo a través de Google Play u otras tiendas oficiales de Android de terceros. En cambio, Brata se propagó a través de mensajes de texto de phishing disfrazados de alertas bancarias. Las nuevas funciones se distribuyeron en al menos tres variantes que no se habían descubierto casi por completo hasta que Cleafy las descubrió por primera vez. Incognito es, al menos en parte, el resultado de un nuevo descargador para distribuir aplicaciones.
Además del interruptor de apagado, Brata ahora busca acceso a la ubicación del dispositivo infectado. Si bien los investigadores de Cleafy dicen que no encontraron evidencia en el código de que Brata esté utilizando el seguimiento de ubicación, especulan que las futuras versiones del malware pueden comenzar a aprovechar la función.
El malware también se actualizó para usar zócalo web.
“Como se muestra en la Figura 17 [below], C2 utiliza el protocolo webSocket para enviar comandos específicos que deben ejecutarse en el teléfono (como whoami, byebye_format, screen_capture, etc.)”, escribieron los investigadores de Cleafy. “Hasta donde sabemos, el malware (de un perspectiva de conexión) la mayoría de las veces se encuentran en un estado de espera hasta que el C2 emite un comando para indicar a la aplicación que continúe con el siguiente paso. “
Laboratorios Criffey
Las nuevas funciones subrayan el comportamiento evolutivo de las aplicaciones de crimeware y otros tipos de malware, ya que sus autores trabajan para aumentar el alcance de las aplicaciones y los ingresos que generan. Los usuarios de teléfonos Android deben tener cuidado con el malware limitando la cantidad de aplicaciones que instalan, asegurándose de que las aplicaciones solo provengan de fuentes confiables e instalando actualizaciones de seguridad rápidamente.
