BRATA es el nombre de un troyano bancario de Android que los investigadores de seguridad han estado observando durante un tiempo.. En un nuevo informe compilado por la firma de ciberseguridad Cleafy, se ha revelado nueva información sobre el banquero.
Los actores de amenazas han estado usando el troyano para "perpetrar fraude a través de transferencias bancarias no autorizadas". Algunas de las nuevas capacidades agregadas al malware incluyen realizar un restablecimiento de fábrica del dispositivo, rastreo gps, usando múltiples canales de comunicación (como HTTP y TCP), y poder monitorear continuamente la aplicación bancaria de la víctima a través de VNC (Virtual Network Computing) y registro de teclas.
A quién se ha dirigido la última variante de BRATA?
La lista de objetivos ahora contiene más bancos e instituciones financieras en el Reino Unido, Polonia, Italia, y america latina, el informe señaló. Cabe mencionar que la primera ola de ataques se inició en noviembre 2021, y el segundo a mediados de diciembre del mismo año. Durante la segunda ola, los piratas informáticos comenzaron a entregar varias variantes nuevas en varios países. Los investigadores también detectaron algunas muestras que contenían cadenas españolas y chinas..
A partir de ahora, Se han identificado tres variantes del troyano BRATA:
BRATA.A: Esta variante ha sido la más utilizada durante los últimos meses.. En diciembre, los piratas informáticos agregaron dos nuevas características a su conjunto de capacidades. La primera característica aún está en desarrollo., y está relacionado con el rastreo GPS del dispositivo de la víctima. La segunda característica es ejecutar un restablecimiento de fábrica del dispositivo infectado..
BRATA.B es muy similar a la primera muestra. Lo que es diferente aquí es el parcial ofuscación del código y el uso de páginas de superposición personalizadas utilizadas para robar el número de seguridad (o PIN) de la aplicación bancaria dirigida, el informe señaló.
BRATA.C consiste en un cuentagotas inicial que descarga y ejecuta la aplicación maliciosa real más adelante en el ataque.
Los investigadores han estado observando el malware desde hace algún tiempo., y parece que sus autores modifican continuamente su código malicioso. Esto se hace para evitar la detección por parte de los proveedores de antivirus..
“Aunque la mayoría de los troyanos bancarios de Android intentan ofuscar/cifrar el núcleo del malware en un archivo externo (p.ej. .dex o .jar), BRATA usa una aplicación mínima para descargar en un segundo paso la aplicación principal de BRATA (.apk),” el equipo de Cleafy adicional.
BRATA también es capaz de monitorear cuentas bancarias
Parece que el banquero tiene sus propios métodos de atención al cliente en términos de monitoreo de cuentas bancarias.. Sin embargo, también puede monitorear otras acciones realizadas en el dispositivo infectado. El malware ayuda a los actores de amenazas a obtener permisos del Servicio de Accesibilidad que ocurre durante las fases de instalación.. Esto se hace para observar la actividad que realiza la víctima y/o usar el módulo VNC para obtener datos privados que se muestran en la pantalla del dispositivo., como el saldo de la cuenta bancaria, Historial de transacciones, etc.
Una vez que los piratas envían un comando específico ("obtener_pantalla") desde el servidor de comando y control, el malware comienza a tomar capturas de pantalla del dispositivo y las envía de regreso al servidor de comando a través del canal HTTP.
Otros troyanos bancarios notables para Android incluyen el Amenaza basada en Cerberus llamada ERMAC, la troyano Ghimob avanzado, y el amenaza de nueva generación SharkBot.