Expertos en seguridad han identificado una nueva familia de malware de herramienta de acceso remoto para dispositivos Android, apodada como BRATA, haciendo referencia al nombre debido a su descripción y función: "Brazilian RAT Android", dirigido exclusivamente a víctimas de Brasil.
A pesar de ello el malware podría usarse para atacar a cualquier otro país si los ciberdelincuentes detrás de él lo desean. La amenaza ha sido descubierta desde enero de 2019, alojado en la tienda oficial de Google Play, pero también se ha visto en tiendas alternativas no oficiales de aplicaciones Android. El único requisito del malware para que funcione sin inconvenientes es contar con al menos la versión 5.0 de Android Lollipop.
Los cibercriminales detrás de BRATA usan un número reducido de vectores de ataque. Dentro de los cuales encontramos el uso de notificaciones push en sitios web comprometidos; también se descubrió que se propagó vía mensajes de WhatsApp o SMS, y el último vector identificado, por medio de enlaces patrocinados en búsquedas de Google.
Las primeras muestras que se encontraron de esta familia de malware corresponden a enero y febrero de 2019, hoy en día ya han aparecido más de 20 variantes diferentes en Google Play Store, mayor parte de ellas se presentan como una actualización de la popular aplicación de mensajería instantánea WhatsApp, la cual registró más de 10.000 descargas en la tienda oficial de Google Play, alcanzando un margen de 500 víctimas por día.
El parche que liberó WhatsApp, que corrige la falla identificada como CVE-2019-3568 es la que permite que el actor de amenazas detrás de BRATA abuse de ella. Una vez que el dispositivo de una víctima esté infectado, "BRATA" habilita funciones convencionales de Spyware como el registro del teclado. Haciendo uso del servicio de accesibilidad de Android para interactuar con otras aplicaciones instaladas en el dispositivo del usuario.
La recomendación es revisar cuidadosamente los permisos que cualquier aplicación solicita en nuestro dispositivo. También es recomendable instalar una solución antimalware actualizada y que cuente con protección en tiempo real.
Indicadores de Compromiso (IoC)
1d8cf2c9c12bf82bf3618becfec34ff7
4203e31024d009c55cb8b1d7a4e28064
4b99fb9de0e31004525f99c8a8ea6e46
REFERENCIA
COMENTARIOS