Un malware para Android puede restablecer los teléfonos de fábrica tras vaciar las cuentas bancarias
Un troyano de fraude bancario que lleva tres años atacando a los usuarios de Android se ha actualizado para crear aún más problemas. Además de vaciar las cuentas bancarias, el troyano ahora puede activar un interruptor de apagado que realiza un restablecimiento de fábrica y limpia los dispositivos infectados.
Brata fue documentado por primera vez en un post de la firma de seguridad Kaspersky, que informó que el malware de Android había estado circulando desde al menos enero de 2019. El malware se propagó principalmente a través de Google Play, pero también a través de mercados de terceros, notificaciones push en sitios web comprometidos, enlaces patrocinados en Google y mensajes entregados por WhatsApp o SMS. En ese momento, Brata se dirigía a personas con cuentas de bancos con sede en Brasil.
Cubriendo sus huellas maliciosas
Ahora Brata vuelve con una serie de nuevas capacidades, la más significativa de las cuales es la capacidad de realizar un restablecimiento de fábrica en los dispositivos infectados para borrar cualquier rastro del malware después de que se haya intentado una transferencia no autorizada. La empresa de seguridad Cleafy Labs, que fue la primera en informar sobre el interruptor de apagado, dijo que otras características añadidas recientemente a Brata incluyen el seguimiento por GPS, la mejora de la comunicación con los servidores de control, la capacidad de supervisar continuamente las aplicaciones bancarias de las víctimas y la capacidad de dirigirse a las cuentas de los bancos ubicados en otros países. El troyano funciona ahora con bancos situados en Europa, Estados Unidos y América Latina.
“Descubierto por primera vez dirigiéndose a los usuarios brasileños de Android en 2019 por Kaspersky, el troyano de acceso remoto (RAT) se ha actualizado, dirigiéndose a más víctimas potenciales y añadiendo un interruptor de apagado a la mezcla para cubrir sus pistas maliciosas”, dijeron los investigadores de la firma de seguridad Zimperium en un post confirmando los hallazgos de Cleafy. “Después de que el malware haya infectado y realizado con éxito una transferencia bancaria desde la aplicación bancaria de la víctima, forzará un restablecimiento de fábrica en el dispositivo de la víctima”.
En esta ocasión, no hay pruebas de que el malware se propague a través de Google Play u otras tiendas oficiales de Android de terceros. En su lugar, Brata se propaga a través de mensajes de texto de phishing disfrazados de alertas bancarias. Las nuevas capacidades circulan en al menos tres variantes, todas las cuales pasaron casi completamente desapercibidas hasta que Cleafy las descubrió. La ocultación se debe, al menos en parte, a un nuevo descargador utilizado para distribuir las aplicaciones.
Además del interruptor de apagado, Brata ahora pide permiso para acceder a las ubicaciones de los dispositivos infectados. Aunque los investigadores de Cleafy dijeron que no encontraron ninguna evidencia en el código de que Brata esté utilizando el rastreo de la ubicación, especularon que las futuras versiones del malware podrían comenzar a hacer uso de esta característica.
El malware también se ha actualizado para mantener una conexión persistente con el servidor de mando y control (o C2) del atacante en tiempo real mediante un websocket.
“Como se muestra en la figura 17 [a continuación], el protocolo webSocket es utilizado por el C2 que envía comandos específicos que deben ser ejecutados en el teléfono (por ejemplo, whoami, byebye_format, screen_capture, etc.)”, escribieron los investigadores de Cleafy. “Por lo que sabemos, el malware (en la perspectiva de la conexión) está en un estado de espera la mayor parte del tiempo, hasta que el C2 emite comandos que instruyen a la aplicación para el siguiente paso”.
Las nuevas funciones ponen de manifiesto la constante evolución del comportamiento de las aplicaciones de software delictivo y otros tipos de malware, ya que sus autores se esfuerzan por aumentar el alcance de las aplicaciones y los ingresos que generan. Los usuarios de teléfonos Android deben mantenerse alerta ante el malware malicioso limitando el número de aplicaciones que instalan, asegurándose de que las aplicaciones provienen sólo de fuentes fiables e instalando rápidamente las actualizaciones de seguridad.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Tecnología
Michael Rojas
Me convertí en un entusiasta de la tecnología a finales de 2012, y desde entonces, he estado trabajando para publicaciones de renombre en toda América y España como freelance para cubrir productos de empresas como Apple, Samsung, LG entre otras. ¡Gracias por leerme! Si deseas saber más sobre mis servicios, envíame tu consulta a [email protected].