Software malicioso BRATA

El troyano bancario BRATA apareció por primera vez en 2019 en Brasil. La amenaza tenía como objetivo los dispositivos Andoird y era capaz de realizar capturas de pantalla, instalar nuevas aplicaciones y hacer que el dispositivo infectado pareciera apagado al apagar la pantalla. Sin embargo, desde entonces, la amenaza ha experimentado una rápida evolución con múltiples versiones nuevas, cada una de las cuales poseía capacidades intrusivas ampliadas. Por ejemplo, en 2021 la amenaza se utilizó en campañas de ataque contra usuarios en Europa. Los investigadores de Infosec descubrieron que el malware BRATA se propaga a través de aplicaciones antispam falsas. Las operaciones amenazantes incluso incluían agentes de soporte falsos que atraían a los usuarios para que les proporcionaran un control total sobre sus dispositivos.

A principios de 2022, BRATA se volvió aún más sofisticado, mediante la incorporación del uso de rastreo por GPS y múltiples canales de comunicación para llegar a los servidores de comando y control (C2, C&C). La amenaza también recibió una función de restablecimiento de fábrica, lo que le permite borrar los dispositivos violados después de que los datos ya se hayan filtrado. Los actores de amenazas también adaptaron las versiones de BRATA según el país de los usuarios objetivo.

Ahora, un informe de Cleafy, una empresa italiana de seguridad móvil, muestra que BRATA ha evolucionado aún más, transformándose en una amenaza persistente que pretende permanecer en los dispositivos infectados. Las funciones ampliadas de la amenaza incluyen la capacidad de enviar o interceptar mensajes SMS, lo que brinda a los atacantes la capacidad de recopilar códigos temporales, como contraseñas de un solo uso (OTP) y las que se utilizan en las medidas de seguridad de autenticación de dos factores (2FA). BRATA también puede obtener una carga útil de segunda etapa de su C2. El malware adicional se coloca en el dispositivo como un archivo ZIP que contiene un paquete 'unrar.jar'. Una vez ejecutada, la carga útil actúa como un registrador de teclas que monitorea los eventos generados por la aplicación y los registra localmente.

Finalmente, las versiones de malware BRATA analizadas por Cleafy fueron extremadamente específicas. De hecho, los actores de la amenaza parecen centrarse en una sola institución financiera a la vez. Los atacantes pasarán a su próxima víctima solo después de que sus esfuerzos sean neutralizados por la anterior a través de contramedidas de seguridad. Este comportamiento brinda a los ciberdelincuentes la oportunidad de reducir significativamente la huella del malware BRATA. Después de todo, la amenaza ya no necesitará acceder a la lista de aplicaciones instaladas en el dispositivo violado y luego obtener las inyecciones correspondientes del C2. Ahora, el malware viene precargado con una sola superposición de phishing, lo que minimiza su tráfico C2 y las acciones que debe realizar en el dispositivo host.