La compañía descubrió «BRATA», un RAT espía para Android desarrollado en Brasil que tiene como principal objetivo atacar instituciones financieras de ese país. Pero aseguran que se está expandiendo a otros territorios. Los detalles de la investigación. Cobertura especial de la Cumbre de Ciberseguirdad de la compañía en Puerto Iguazú, Argentina.
Durante la presentación de este nuevo malware, Santiago Pontirolli, analista de Kaspersky para Latam, de entrada advirtió que el último año se duplicó el número de ataques con software móvil malicioso: 116.5 millones contra 66.4 millones en 2017, donde una de las categorías con mayor crecimiento fueron los troyanos con 37% de las detecciones totales
En ese contexto Kaspersky presentó el descubrimiento de este nuevo malware derivado de la familia de herramientas de acceso a distancia (RAT) de Android, que fue llamado así por su descripción («RAT brasileño para Android»). Espía al dispositivo infectado y es capaz de otorgarle a los cibercriminales el reflejo exacto en tiempo real de la pantalla del móvil de la víctima, con la posibilidad de activar la cámara y el micrófono. Descubierto por primera vez en enero de 2019, BRATA se alojaba principalmente en Google Play –donde una de sus variantes tuvo 10 mil descargas–, pero también fue detectado en tiendas de aplicaciones Android no oficiales.
Según los investigadores de Kaspersky, el malware requiere Android Lollipop 5.0 o versiones posteriores para funcionar. Los agentes de amenaza que están detrás de BRATA usan vectores específicos de infección, como notificaciones PUSH en sitios web comprometidos y mensajes enviados a través de WhatsApp o SMS. Los cibercriminales también disfrazaron el malware como el parche de WhatsApp (CVE-2019-3568) emitido en junio, táctica que registró más de 10.000 descargas en Google Play y alcanzó hasta 500 víctimas por día. Después de recibir la notificación de Kaspersky, Google retiró la aplicación de su tienda en línea.
Una vez dentro de un dispositivo, el malware puede robar los correos electrónicos, los mensajes instantáneos, la ubicación y el historial de navegación del usuario, así como las contraseñas y los nombres de usuario de las aplicaciones móviles de bancos en línea. Lo peculiar de esta amenaza es que «BRATA» permite a los ciberdelincuentes ver la pantalla del móvil de la víctima en tiempo real y espiar al usuario activando la cámara y el micrófono del dispositivo. También es capaz de colocar una superposición en la pantalla de la víctima para ocultar la actividad de los ciberdelincuentes en el teléfono del usuario. Además, utiliza la función del Servicio de Accesibilidad de Android para interactuar con otras aplicaciones instaladas en un dispositivo.
“Aunque hasta ahora BRATA solo ha atacado a víctimas en Brasil, tiene el potencial de atacar a los usuarios de Android en la región y en cualquier parte del mundo”, dijo Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky “En el pasado, el acceso a implantes móviles se limitaba a unos pocos agentes de amenazas; sin embargo, hoy en día, prácticamente cualquiera puede acceder a ellos, ya que es posible obtenerlos por intercambio en el mercado negro, o comprarlos por tan solo US$720”. En ese mismo sentido, Pontirolli advirtió: «Los implantes móviles como BRata se están masificando. Es uno de los primeros de tantos más que van a venir».
Para evitar ser víctima de este malware, Kaspersky recomienda a los usuarios que:
-Revisen cuidadosamente los permisos solicitados por las aplicaciones. Si una aplicación solicita algo que no es necesario para que realice sus operaciones normales, considere las consecuencias que esto tiene para su privacidad antes de otorgarles acceso.
-Mantengan actualizado el sistema operativo de su dispositivo móvil.
-Nunca hagan clic en URLs de fuentes desconocidas o sospechosas.
.Piensen dos veces antes de aceptar notificaciones PUSH de sitios web y aplicaciones.
-Instalen en todos sus dispositivos móviles una solución antimalware robusta con protección en tiempo real como Kaspersky Internet Security for Android.
Además, la compañía destacó que todos sus productos detectan y bloquean a esta familia como “HEUR: Backdoor.AndroidOS.Brata”.
Los informes de Kaspersky sobre BRata están disponible en su Threat Inteligente Portal #KLSEC
