Un troyano bancario de Android famoso por borrar los teléfonos inteligentes para cubrir sus huellas tiene varias características nuevas para mejorar su capacidad de phishing de credenciales bancarias en línea, interceptar códigos de autenticación de dos factores de SMS, etc.
BRATA o la ‘herramienta brasileña de acceso remoto, Android’ existe desde al menos 2019, inicialmente como spyware y luego se convirtió en un troyano bancario.
Los investigadores de una empresa italiana de ciberseguridad, Cleafy, descubrieron el año pasado que los creadores de BRATA habían comenzado a abusar del restablecimiento de fábrica de Android para evitar que las víctimas descubrieran, informaran y evitaran transferencias bancarias no autorizadas.
El restablecimiento de fábrica se ejecutó después de una transferencia bancaria ilícita exitosa o cuando el malware detectó un análisis por parte del software de seguridad instalado.
BRATA se centró únicamente en clientes de bancos brasileños, pero no ha comenzado a dirigirse también a clientes de marcas bancarias del Reino Unido, España y Gran Bretaña.
El malware se propagó a través de mensajes SMS fraudulentos que pretendían ser del banco de un objetivo, pero contenía un enlace que descargaría BRATA.
Los investigadores afirman que la nueva variante que se está extendiendo por Europa presenta nuevas páginas de phishing que imitan a los bancos objetivos, nuevos métodos para adquirir permisos para acceder a los datos de ubicación del GPS y nuevas formas de enviar y recibir SMS y obtener permisos de administración de dispositivos. También ganó la capacidad de transferir una pieza de malware de segunda etapa desde su servidor de comando y control para realizar el registro de eventos.
La combinación de las páginas de phishing y la capacidad de recibir y leer los SMS de la víctima podría usarse para apoderarse de la cuenta bancaria de la víctima.
Los investigadores también descubrieron una aplicación de robo de SMS relacionada que compartía algún código con el malware BRATA. La aplicación maliciosa le pide al usuario que cambie la aplicación de mensajería predeterminada por la maliciosa para interceptar los mensajes entrantes, incluidos los códigos de autenticación de dos factores o los códigos de acceso de un solo uso.
Los actores de amenazas detrás de BRATA apuntan a una institución financiera específica a la vez y cambian su enfoque nada más cuando la víctima objetiva comienza a implementar contramedidas consistentes contra ellos. Más tarde se alejan del centro de atención y luego salen con un objetivo y estrategias de infección diferentes.
Fuente: