El equipo de investigación móvil de McAfee ha descubierto nuevas variantes del malware BRATA, que están apuntando a los usuarios de España y de Estados Unidos. Se distribuyen en Google Play, haciéndose pasar por escáneres de seguridad de aplicaciones.
Estas aplicaciones maliciosas dicen a los usuarios que deben actualizar Chrome, WhatsApp o un lector de PDF, pero en lugar de actualizar la aplicación, toman el control total del dispositivo.
En el pasado se habían identificado versiones de BRATA en Brasil y ahora este phishing está destinado sobre todo a “entidades financieras, no sólo en Brasil sino también en España y Estados Unidos”, según las informaciones de los investigadores.
La forma en la que funciona parece muy similar al Flubot que durante los últimos meses ha protagonizado infinidad de casos de robo de información importante en nuestro país. Hay que recordar que para Flubot ya hay una app que permite desinstalar el virus.
Cómo opera BRATA
BRATA se distribuye a través de Google Play y se hace pasar por un escáner de aplicaciones y programas. Alerta al usuario de que necesita limpiar alguno de sus programas y cuando el usuario acepta, mientras este malware finge escanear las aplicaciones instaladas, en segundo plano comprueba si alguna de las aplicaciones objetivo proporcionadas por un servidor remoto está instalada en el dispositivo del usuario.
Si es el caso, es decir, si tiene especial interés en alguna de las aplicaciones del usuario, pedirá a la víctima instalar una falsa actualización de una aplicación específica seleccionada en función del idioma del dispositivo. Una de las novedades que se acaban de descubrir es que ahora también manda alertas en castellano sobre WhatsApp, avisando de que la aplicaciónn no está actualizada. En el caso de las aplicaciones en inglés, BRATA sugiere la actualización de Chrome, mientras muestra constantemente una notificación en la parte superior de la pantalla pidiendo al usuario que active los servicios de accesibilidad.
Una vez que el usuario hace clic en "¡ACTUALIZAR AHORA!", BRATA procede a abrir la pestaña principal de Accesibilidad en los ajustes de Android y pide al usuario que conceda permisos para utilizar servicios de accesibilidad.
Cuando el usuario intenta realizar esta acción, Android advierte de los riesgos potenciales de conceder acceso a los servicios de accesibilidad a una aplicación. En cuanto el usuario hace clic en Aceptar, la notificación persistente desaparece, el icono principal de la app se oculta y aparece una pantalla negra completa con la palabra "Actualizando", que McAffee cree que se hace para ocultar las acciones automatizadas que ahora la aplicación puede realizar, porque la víctima ya ha caído en la trampa.
Es decir, que se convence las víctimas para que instalen aplicaciones maliciosas en sus teléfonos fingiendo que hay un problema de seguridad y que esa aplicación va a solucionar el problema. Sin embargo, el verdadero problema de seguridad arranca cuando la víctima hace caso a este aviso y descarga el programa desconocido.
BRATA tiene dos formas de conseguir información de las víctimas. Por un lado puede hacerse con el control total del dispositivo infectado, abusando de los servicios de accesibilidad. Por otro, tiene funcionalidad de troyano bancario, ofreciendo URLs de phishing que imitan a ciertas apps financieras y bancarias.
Cómo evitar infectarse
La solución que existe para no caer en la trampa, es básicamente y como con la gran mayoría de programas de phishing, que no descargues ningún programa que no conozcas. Especialmente en este caso no ejecutes un un software de seguridad que asegura que va a analizar y actualizas tu sistema.
Durante 2020, los actores de la amenaza detrás de BRATA han logrado publicar varias aplicaciones en Google Play, la mayoría de las cuales han alcanzado entre mil y cinco mil instalaciones. Sin embargo, también algunas variantes han alcanzado las 10.000 instalaciones, incluyendo la última, DefenseScreen, reportada a Google por McAfee en octubre y posteriormente retirada de Google Play.
Hay que recordar que aunque esta amenaza acaba de aterrizar en España, ya se reconoce en Brasil (de hecho, en su nombre, la letra B es la inicial de Brazilian) desde el año 2018, cuando Kaspersky lo descubrió. Los investigadores dicen que ahora se ha ido haciendo más sofisticada.
Ver 4 comentarios