El troyano bancario BRATA para Android se vuelve más poderoso cada día. Abreviatura de Brazilian Remote Access Tool, Android, BRATA existe desde 2019, pasando de spyware a troyano bancario. Puede robar dinero de su cuenta bancaria y borrar todo el teléfono para deshacerse de la evidencia. Los actores de amenazas detrás de este desagradable programa ahora lo han actualizado con nuevas capacidades.
Los investigadores de seguridad de Cleafy han descubrió una nueva variante de BRATA con clases adicionales que pueden ejecutar funciones específicas en un dispositivo infectado. Según el nuevo informe, el troyano ahora puede recrear la página de inicio de sesión de un”famoso banco italiano”y engañar a los usuarios para que ingresen sus credenciales allí. Los actores de amenazas pueden usar las credenciales para un ataque mayor en una etapa posterior. Además, puede interceptar mensajes entrantes como códigos de autenticación de dos factores (2FA) para controlar completamente la cuenta.
Los atacantes también están equipando a BRATA con capacidades para obtener datos de otras aplicaciones instaladas en un dispositivo. También puede adquirir información GPS, así como obtener permisos de administración de dispositivos. Además, el troyano puede descargar otro código en el dispositivo que puede realizar el registro de eventos.
Además, la gente detrás de BRATA también parece estar desarrollando malware para Android disfrazado como una aplicación de mensajería. Es posible que estén planeando usar esta aplicación para robar contactos, así como mensajes que contengan códigos 2FA y contraseñas de un solo uso (OTP). Esta aplicación está dirigida al Reino Unido, España e Italia, mientras que la nueva variante de BRATA también se está extendiendo por Europa.
BRATA apunta a los clientes de un banco a la vez
Como se dijo anteriormente , BRATA ha estado afectando a los dispositivos Android desde 2019. Como troyano bancario, originalmente se dirigía solo a clientes de bancos brasileños. Pero con el tiempo, también se ha extendido a varios países europeos.
El programa ingresa al dispositivo de la víctima a través de un enlace de phishing enviado a través de mensajes fraudulentos que pretenden ser de un banco. Al hacer clic en ese enlace, se descargaría BRATA en el dispositivo, después de lo cual comienza ataques devastadores. Puede robar credenciales bancarias en línea e interceptar códigos SMS 2FA, lo que esencialmente le permite transferir dinero desde su cuenta sin su conocimiento.
Después de completar la transferencia, el troyano realiza un restablecimiento de fábrica del dispositivo para borrar cualquier evidencia de su existencia. El restablecimiento de fábrica también se realiza si el software de seguridad del dispositivo detecta el troyano. Esencialmente, BRATA garantiza que los usuarios no se den cuenta de su presencia en sus dispositivos.
Los investigadores de Cleafy han descubierto que BRATA solo se dirige a una”institución financiera específica”a la vez. Los actores de amenazas cambian a otro banco una vez que sus víctimas implementan activamente contramedidas contra el troyano. En este punto, se alejan del centro de atención. Pero regresan más fuertes que nunca, con un nuevo banco objetivo y estrategias.
“El modus operandi ahora encaja en un patrón de actividad de Amenaza Persistente Avanzada (APT). Este término se utiliza para describir una campaña de ataque en la que los delincuentes establecen una presencia a largo plazo en una red específica para robar información confidencial”, advierten los investigadores.
