imágenes falsas
El troyano de fraude bancario, que ha estado atacando a los usuarios de Android durante tres años, se ha actualizado para crear más miseria. Además de vaciar cuentas bancarias, el troyano ahora puede realizar un restablecimiento de fábrica y activar un interruptor de apagado para limpiar los dispositivos infectados.
Brata fue documentado por primera vez un Correo La firma de seguridad Kaspersky informó que el malware para Android estará en circulación al menos a partir de enero de 2019. El malware se propaga principalmente a través de Google Play, pero también a través de mercados de terceros, notificaciones automáticas en sitios web comprometidos, enlaces patrocinados por Google y mensajes entregados a través de WhatsApp o SMS. En ese momento, Brata apuntaba a personas con cuentas de bancos con sede en Brasil.
Cubriendo sus pistas maliciosas
Ahora Brata está de regreso con muchas capacidades nuevas, la más importante de las cuales es la capacidad de realizar un restablecimiento de fábrica en los dispositivos infectados para eliminar cualquier rastro de malware después de intentar una transferencia bancaria no autorizada. La empresa de seguridad es Cliffy Labs, que Primero informó el interruptor de apagado, Otras adiciones recientes a Brata incluyen el seguimiento por GPS, una mejor comunicación con los servidores de control, la capacidad de monitorear constantemente las aplicaciones bancarias de las víctimas y la capacidad de apuntar a cuentas bancarias en países adicionales. El troyano ahora funciona con bancos en Europa, EE. UU. y América Latina.
«El troyano de acceso remoto (RAT), descubierto por primera vez por Kaspersky y dirigido a los usuarios brasileños de Android en 2019, se actualizó, agregando un interruptor de apagado a la mezcla para apuntar a más víctimas potenciales y cubrir más pistas maliciosas», dijeron los investigadores de la firma de seguridad Zimperium. . Correo Confirma los resultados del acantilado. «Después de que el malware esté infectado y la transferencia bancaria desde la aplicación bancaria de la víctima se realice con éxito, tendrá que realizar un restablecimiento de fábrica en el dispositivo de la víctima».
En este momento, no hay evidencia de que el malware se haya propagado a través de Google Play u otras tiendas oficiales de Android de terceros. En cambio, Brata promueve el phishing disfrazado de advertencias bancarias a través de mensajes de texto. Están circulando nuevas capacidades en al menos tres variantes, todas las cuales pasaron casi completamente desapercibidas hasta que Cliffy las descubrió por primera vez. Stealth es el resultado de un nuevo descargador utilizado para distribuir aplicaciones.
Además del Kill Switch, Brata ahora solicita permiso para acceder a las ubicaciones de los dispositivos infectados. Aunque los investigadores de Clefie dicen que no han encontrado ninguna evidencia en el código de que Brata esté usando el rastreo de ubicación, especulan que futuras versiones del malware podrían comenzar a ganar fuerza.
El malware se ha actualizado para mantener una conexión continua en tiempo real con el servidor de comando y control del atacante (o C2). WebSocket.
«Como se muestra en la Figura 17 [below], C2 utiliza el protocolo web socket, que envía comandos específicos para que se ejecuten en el teléfono (por ejemplo, whoami, byebye_format, screen_capture, etc.) «Hasta que se aplican las instrucciones a la aplicación para el paso».
laboratorios cliffy
Las nuevas capacidades subrayan el comportamiento en constante evolución de las aplicaciones de crimeware y otros tipos de malware a medida que sus autores buscan aumentar la gama de aplicaciones y los ingresos que generan. Los usuarios de teléfonos Android deben tener cuidado con el malware malicioso limitando la cantidad de aplicaciones que instalan, asegurándose de que las aplicaciones solo provengan de fuentes confiables e instalando actualizaciones de seguridad rápidamente.
«Orgulloso pionero de Twitter. Analista. Comunicador. Geek web profesional. Especialista en música de por vida».