BrazKing Android Malware
BrazKing es un malware bancario móvil que realiza ataques de superposición para recopilar las credenciales bancarias de sus víctimas. La amenaza apunta a dispositivos y usuarios de Android ubicados en Brasil.predominantemente, lo que posiblemente sugiere que sus operadores también están ubicados en la región. Los investigadores de IBM Trusteer arrojaron luz sobre la amenaza al publicar un informe con sus hallazgos después del análisis de varias muestras de BrazKing. Hasta ahora, los expertos confían en que BrazKing aún se está desarrollando.activamente debido a las diferencias significativas introducidas en las versiones más recientes de la amenaza.
Tabla de contenido
Abusar del Servicio de Accesibilidad de Android
La función de accesibilidad está destinada a hacer que el uso del dispositivo móvil sea más cómodo para las personas con discapacidades. Sin embargo,Los ciberdelincuentes se han concentrado en él y están explotando el servicio para realizar numerosas acciones nefastas en los dispositivos infectados. BrazKing confía en el servicio de Accesibilidadextensamente, ya que esto permite que la amenaza limite el número de permisos específicos que el usuario debería otorgar. Como resultado, BrazKing solicita una pequeña cantidad de permisos menos sospechosos.
En segundo plano, BrazKing puede simular toques de pantalla, establecer rutinas de registro de teclas, actuar como un RAT (Troyano de acceso remoto), interceptar y leer SMS capturando el texto de los mensajes mientras se muestra en la pantalla y acceder a las listas de contactos del usuario mediante leyéndolos silenciosamente desde la pantalla 'Contactos'. La amenaza también establece un mecanismo de persistencia basado en las funciones del servicio de Accesibilidad. Si los usuarios intentan restaurar el dispositivo infectado a su configuración de fábrica, BrazKing simulará inmediatamente un toque en los botones 'Atrás' e 'Inicio'. La misma técnica también se utiliza para evitar que los usuarios lancen soluciones anti-malware o intenten escanear el dispositivo.
Vector de Infección
Se engaña a las víctimas para que instalen la amenaza a través de mensajes de phishing que llevan la URL de un sitio web fraudulento. El sitio web engañoso utiliza tácticas de miedo, como afirmar que el dispositivo del usuario tiene una seguridad obsoleta y va a ser bloqueado. Para solucionar este problema inexistente, los usuarios deben hacer clic en el botón provisto que supuestamente va a "actualizar" el sistema operativo del dispositivo. En realidad, entregará el malware BrazKing para Android. Los usuarios aún deberán aprobar la descarga ya que la aplicación proviene de una fuente desconocida. Posteriormente, la amenaza intentará obtener los pequeños permisos que necesita enmascarándolos como requisitos de Google.
Ataques de Superposición
Las versiones anteriores de BrazKing obtenían la pantalla de inicio de sesión falsa para las aplicaciones bancarias específicas desde una URL codificada. Las versiones más recientes se han alejado de esta técnica para volverse más optimizadas, ágiles y esquivas. De hecho, la amenaza ahora realiza una llamada automática a su servidor de Comando y Control (C2, C&C) y solicita la pantalla superpuesta necesaria sobre la marcha. Los ciberdelincuentes ahora determinan cuándo la víctima está lanzando una aplicación adecuada y cuándo activar el proceso de obtención de credenciales en lugar de dejarlo en una función automatizada dentro de la propia amenaza.
Otra característica de los ataques de BrazKing es que no requieren el permiso 'android.permission.SYSTEM_ALERT_WINDOW' aprobado por el usuario. En cambio, el malware carga la URL de la pantalla superpuesta en una vista web y la muestra en una ventana.
El malware de banca móvil sigue evolucionando y los usuarios deben tomar las medidas necesarias para proteger sus dispositivos y no exponerse a riesgos innecesarios.
