BRATA: Un malware ordinario con características extraordinarias
¿Está España en el punto de mira de BRATA? El malware vuelve a situarse en el centro de atención y crece hasta convertirse en una verdadera amenaza persistente avanzada (APT).
Comencemos por el principio, remontándonos a enero de 2019. BRATA son las siglas de Brazilian Remote Access Tool Android, un troyano que apareció en Brasil y fue descubierto por Kaspersky en esa fecha. El malware estaba diseñado para suplantar los datos bancarios de las víctimas de los usuarios de Android.
Su vector de ataque era el phishing, mediante notificaciones, SMS, Whatsapp y URLs no autorizadas. El malware se expandió en Google Play Store como una actualización falsa de Whatsapp, dando lugar a más de 10.000 descargas y alcanzando, aproximadamente, a 500 usuarios al día. En concreto, explotó la vulnerabilidad CVE-2019-3568 de WhatsApp, que permite la ejecución remota de código en un teléfono Android o iPhone a través de un simple intento de llamada de WhatsApp.
Si avanzamos un poco, en junio de 2021 apareció una variante en Europa, concretamente en Italia, bajo la forma de aplicaciones anti-spam falsas (“Sicurezza Dispositivo” -seguridad del dispositivo-). En esta campaña, los ciberdelincuentes atacaron a un instituto financiero con una tasa total de detección del virus del 50%. Esto llevó a una segunda variante a mediados de octubre, esta vez dirigida a tres institutos, con una tasa de detección aún más baja.
El modus operandi consistía en el envío de una falsa alerta bancaria por SMS, que conducía a una web falsa y, a través de un operador de soporte fraudulento, obtenía el control del dispositivo de la víctima para realizar una transacción bancaria ilegítima.
Si nos acercamos más en el tiempo, el pasado mes de enero de 2022 BRATA volvió a la escena del malware con una versión más agresiva, que pretende establecerse a largo plazo, lo que permite calificarlo como APT (Advanced Persistent Threat).
A su modus operandi, BRATA ha añadido nuevas características, como el acceso a la localización GPS, la presencia de un keylogger y un módulo VNC. Los países objetivo son el Reino Unido, Polonia, Italia, China y España. Y entre sus nuevas características encontramos que este troyano bancario ahora puede reiniciar el smartphone para borrar cualquier evidencia después de realizar pasos bancarios ilícitos.
¿Cómo funciona BRATA?
Toda la novedad de BRATA reside ahí, en su capacidad para limpiar dispositivos, para formatear el teléfono. El usuario ve desaparecer sus fotos, vídeos, cuentas y otros datos. El malware engaña a la víctima para que introduzca sus credenciales de banca online y luego intercepta la autenticación de dos factores. Para hacer esto, se difunde a través de un SMS haciéndose pasar por un banco que redirige a una página web. El APK de BRATA se oculta en un paquete JAR o DEX encriptado, lo que le permite supervisar las aplicaciones bancarias en tiempo real y rastrear la geolocalización.
Esta particularidad es lo que hace que la mayor parte del tiempo sea indetectable por un antivirus y la mejor parte es que una vez que el malware está instalado, el antivirus es desinstalado y los ajustes de seguridad son desactivados. El malware puede entonces efectuar un reinicio en el dispositivo para borrar todo rastro de actividad, ocultando así toda evidencia de la transferencia ilegal realizada desde la cuenta bancaria.
Una metodología singular
En un SMS de phishing disfrazado de alerta bancaria, se pide a la víctima que haga clic en un enlace fraudulento para acceder a su cuenta. La nueva versión de BRATA imita la página de inicio de autenticación de una web bancaria.
Con la capacidad de leer mensajes SMS, BRATA es capaz de interceptar el mensaje permitiendo la autenticación de dos factores. El malware descarga un documento JAR o DEX cifrado desde el servidor C2. Una vez instalado en el dispositivo, puede desinstalar el antivirus y así persistir en él.
La metodología de BRATA es singular, ya que ataca a una institución financiera específica en cada campaña. Por otra parte, además de su capacidad para leer mensajes SMS, la nueva variante de BRATA permite restablecer la configuración de fábrica del dispositivo y así borrar los rastros de su presencia. También tendría la capacidad de acceder a los datos de geolocalización del teléfono y controlar las aplicaciones bancarias en tiempo real.
Los analistas de Investigación de amenazas de TEHTRIS tomaron medidas específicas para probar el comportamiento de BRATA en teléfonos Android y en sandboxes Android. En ellos encontraron que la aplicación intenta, por ejemplo, imposibilitar el uso de la cuenta de administrador y forzar una nueva contraseña para desbloquear el teléfono, así com registrar e iniciar servicios y muchas otras acciones clásicas de los backdoors de Android.
En una de las cepas estudiadas por TEHTRIS, vemos detalladamente que los permisos solicitados son bastante numerosos. Además de la geolocalización que ya comentamos anteriormente, es capaz de habilitar todo lo necesario para que un hacker pueda controlar todo de forma remota (leer SMS, llamar, modificar el teléfono, etc.).
¿Por qué debe preocuparnos y qué podemos hacer?
Los autores de BRATA están lanzando ahora campañas en Europa. El lunes 24 de enero de 2022, el malware atacó toda Latinoamérica, Estados Unidos, China, Polonia, Reino Unido, Italia y España.
Todo empieza con un SMS fingiendo ser una alerta bancaria. Para interceptar los SMS entrantes, la aplicación pide al usuario que la establezca como aplicación de mensajería por defecto, al tiempo que solicita permiso para acceder a los contactos del dispositivo. Pero esta vez el malware cambia a otro banco solo después de que la víctima comience a aplicar medidas defensivas.
BRATA sigue evolucionando y requiere toda nuestra vigilancia. Al principio era un simple «malware», pero ahora estas campañas se están convirtiendo en ataques APT. Sus víctimas están elegidas estratégicamente y atacan una tras otra de forma organizada. El riesgo está ahora en los cajeros automáticos sin tarjeta, y el objetivo también debe afinarse.
Ante este tipo de ataques, TEHTRIS recomienda lo siguiente:
- Si piensas que tu dispositivo está comprometido o quieres ir a lo seguro de vez en cuando, puedes reiniciar tu teléfono. Algunas personas lo hacen al menos una vez al día, con la idea de que es más complicado que algunas herramientas de hackers sean persistentes en el arranque, por lo que el reinicio elimina la actividad maliciosa (no hay que generalizar a todas las amenazas)
- Actualiza tus aplicaciones y software
- Asegúrate de que tus teléfonos y tabletas están bien protegidas
Artículo elaborado por Éléna Poincet, CEO y fundadora de TEHTRIS, compañía dedicada a la neutralización automática de ciberataques sin intervención humana.
Firma Invitada
Últimas entradas de Firma Invitada (ver todo)
- Una integración ética y responsable de la Inteligencia Artificial en Salud - 24 octubre, 2024
- El deporte español y la tecnología: hacia un nuevo modelo de votación digital - 17 octubre, 2024
- La nueva era de la IA está impulsada por modelos más pequeños - 26 septiembre, 2024