Nuevas variantes de un familia peligrosa de malware de Android Se disfraza como una herramienta de seguridad en Google Play que insta a los usuarios a actualizar las aplicaciones más utilizadas, pero en cambio tomar el control de sus dispositivos.
La herramienta brasileña de acceso remoto Android (BRATA) se vio por primera vez a fines de 2018, pero pronto se convirtió en un banco. Troyano combinando las capacidades de control total del dispositivo con la capacidad de robar credenciales.
Investigadores de McAfee ahora han descubierto nuevas variantes de la cepa que afectan a las víctimas en Estados Unidos y España, junto con nuevas capacidades defensivas. BRATA ha agregado capas protectoras, incluido el oscurecimiento de las cuerdas, cifrar archivos de configuración, utilice paquetes comerciales y traslade su funcionalidad básica a un servidor remoto para que pueda actualizarse fácilmente sin cambiar la aplicación principal.
Una de las adiciones más importantes es que se disfraza de herramientas de seguridad en Google Play Store. Los perpetradores lograron publicar en la plataforma varias aplicaciones orientadas a la seguridad con miles de descargas, incluida DefenseScreen, que acumuló 10,000 instalaciones antes de que Google la eliminara.
DefenseScreen es la última versión de una aplicación que pretende escanear todas las aplicaciones instaladas de un dispositivo, mientras que en segundo plano verifica si alguna de las aplicaciones de destino proporcionadas por un servidor remoto está instalada. Si es así, la aplicación maliciosa le pedirá al usuario que instale una actualización falsa de la aplicación específica, dependiendo del idioma del dispositivo. Para las aplicaciones en inglés, BRATA sugiere actualizar Chrome, al mismo tiempo que muestra una notificación que le pide al usuario que active los servicios de accesibilidad.
Luego, la aplicación guía al usuario para que le otorgue a la aplicación maliciosa un conjunto de permisos que, una vez otorgados, lo empujan hacia una pantalla negra y una rueda giratoria para indicar que se está aplicando una actualización. En este punto, la aplicación se ejecuta en segundo plano y permanece en comunicación constante con un servidor de comando y control (C&C).
El ARM puede realizar una variedad de acciones una vez que ha comprometido el dispositivo, incluido el robo de contraseñas, la captura de la pantalla, la interacción con la interfaz de usuario remota y el desbloqueo del dispositivo sin interacción del usuario.
El malware también puede programar actividades, iniciar o detener un registrador de teclas, oculta o muestra las llamadas entrantes y manipula el portapapeles, entre otras funciones.
«En términos de funcionalidad, BRATA es solo otro ejemplo de cuán poderoso es (ab) el uso de servicios de accesibilidad y cómo, con solo un poco de ingeniería social y persistencia, los ciberdelincuentes pueden engañar a los usuarios para que otorguen este acceso a una aplicación. y prácticamente obtener el control total del dispositivo infectado ”, dijeron los investigadores de seguridad de McAfee Fernando Ruiz y Carlos Castillo.
«Al robar su PIN, contraseña o modelo, combinado con la capacidad de registrar la pantalla, hacer clic en cualquier botón e interceptar cualquier cosa que se ingrese en un campo editable, el malware puede obtener prácticamente cualquier información que desee, incluidas las credenciales bancarias a través de páginas web de phishing o incluso directamente desde las aplicaciones, ocultando todas estas acciones al usuario. «
McAfee aconsejó a los usuarios que se abstuvieran de instalar todas las aplicaciones que no sean de confianza, incluso si están en Google Play Storey tenga en cuenta que las actualizaciones de Android se instalan automáticamente a través de Play Store.
