BRATA sigue infiltrándose en Google Play, ahora apuntando a EE. UU. Y España


Recientemente, el equipo de investigación móvil de McAfee descubrió varias variantes nuevas de la familia de malware de Android BRATA que se distribuye en Google Play, que irónicamente se hacen pasar por escáneres de seguridad de aplicaciones.

Estas aplicaciones maliciosas instan a los usuarios a actualizar Chrome, WhatsApp o un lector de PDF, pero en lugar de actualizar la aplicación en cuestión, toman el control total del dispositivo abusando de los servicios de accesibilidad. También se observaron versiones recientes de BRATA sirviendo páginas web de phishing dirigidas a usuarios de entidades financieras, no solo en Brasil sino también en España y Estados Unidos.

En esta publicación de blog, proporcionaremos una descripción general de esta amenaza, cómo funciona este malware y sus principales actualizaciones en comparación con versiones anteriores. Si desea obtener más información sobre los detalles técnicos de esta amenaza y las diferencias entre todas las variantes, puede consultar el documento técnico de BRATA aquí.

Los orígenes de BRATA

Visto por primera vez en la naturaleza a fines de 2018 y llamado "Herramienta de acceso remoto brasileño Android" (BRATA) por Kaspersky, este "RAT" inicialmente se dirigió a usuarios en Brasil y luego se convirtió rápidamente en un troyano bancario. Combina capacidades de control total del dispositivo con la capacidad de mostrar páginas web de phishing que roban credenciales bancarias, además de capacidades que le permiten capturar credenciales de bloqueo de pantalla (PIN, contraseña o patrón), capturar pulsaciones de teclas (funcionalidad keylogger) y grabar la pantalla de los infectados. dispositivo para monitorear las acciones de un usuario sin su consentimiento.

Debido a que BRATA se distribuye principalmente en Google Play, permite a los delincuentes atraer a las víctimas para que instalen estas aplicaciones maliciosas fingiendo que hay un problema de seguridad en el dispositivo de la víctima y solicitando instalar una aplicación maliciosa para solucionar el problema. Dada esta artimaña común, se recomienda evitar hacer clic en enlaces de fuentes no confiables que pretenden ser un software de seguridad que escanea y actualiza su sistema, incluso si ese enlace conduce a una aplicación en Google Play. McAfee ofrece protección contra esta amenaza a través de Seguridad móvil de McAfee, que detecta este malware como Android / Brata.

Cómo ha evolucionado el malware BRATA para Android y se dirige a nuevas víctimas

Las principales actualizaciones y cambios que hemos identificado en las últimas versiones de BRATA encontradas recientemente en Google Play incluyen:

  • Expansión geográfica: inicialmente orientada a Brasil, descubrimos que las variantes recientes comenzaron a orientarse también a usuarios de España y EE. UU.
  • Funcionalidad de troyano bancario: además de poder tener el control total del dispositivo infectado abusando de los servicios de accesibilidad, BRATA ahora ofrece URL de phishing basadas en la presencia de ciertas aplicaciones bancarias y financieras definidas por el servidor de control y comando remoto.
  • Técnicas de autodefensa: las nuevas variantes de BRATA agregaron nuevas capas de protección como la ofuscación de cadenas, el cifrado de archivos de configuración, el uso de empaquetadores comerciales y el traslado de su funcionalidad principal a un servidor remoto para que pueda actualizarse fácilmente sin cambiar la aplicación principal. Algunas variantes de BRATA también comprueban primero si vale la pena atacar el dispositivo antes de descargar y ejecutar su carga útil principal, lo que lo hace más evasivo para los sistemas de análisis automatizados.

BRATA en Google Play

Durante 2020, los actores de amenazas detrás de BRATA han logrado publicar varias aplicaciones en Google Play, la mayoría de ellas alcanzando entre mil y cinco mil instalaciones. Sin embargo, también algunas variantes han alcanzado las 10,000 instalaciones, incluida la última, DefenseScreen, informada a Google por McAfee en octubre y luego eliminada de Google Play.

Figura 1. Aplicación DefenseScreen en Google Play.

De todas las aplicaciones BRATA que estuvieron en Google Play en 2020, cinco de ellas nos llamaron la atención ya que tienen mejoras notables en comparación con las anteriores. Nos referimos a ellos por el nombre de las cuentas de desarrollador:

Figura 2. Cronología de las aplicaciones identificadas en Google Play de mayo a octubre de 2020

Trucos de ingeniería social

BRATA se hace pasar por un escáner de aplicaciones de seguridad que pretende escanear todas las aplicaciones instaladas, mientras que en segundo plano verifica si alguna de las aplicaciones de destino proporcionadas por un servidor remoto está instalada en el dispositivo del usuario. Si ese es el caso, instará al usuario a instalar una actualización falsa de una aplicación específica seleccionada según el idioma del dispositivo. En el caso de las aplicaciones en inglés, BRATA sugiere la actualización de Chrome al mismo tiempo que muestra constantemente una notificación en la parte superior de la pantalla pidiendo al usuario que active los servicios de accesibilidad:

Figura 3. Funcionalidad de escaneo de aplicaciones falsas

Una vez que el usuario hace clic en "¡ACTUALIZAR AHORA!", BRATA procede a abrir la pestaña principal de Accesibilidad en la configuración de Android y le pide al usuario que busque manualmente el servicio malicioso y otorgue permisos para usar los servicios de accesibilidad. Cuando el usuario intenta realizar esta peligrosa acción, Android advierte sobre los riesgos potenciales de otorgar acceso a los servicios de accesibilidad a una aplicación específica, incluido que la aplicación puede observar sus acciones, recuperar contenido de Windows y realizar gestos como tocar, deslizar y pellizco.

Tan pronto como el usuario hace clic en Aceptar, la notificación persistente desaparece, el ícono principal de la aplicación se oculta y aparece una pantalla negra completa con la palabra "Actualizando", que podría usarse para ocultar acciones automatizadas que ahora se pueden realizar con el abuso de los servicios de accesibilidad:

Figura 4. BRATA solicita acceso a los servicios de accesibilidad y muestra una pantalla negra para ocultar potencialmente acciones automatizadas.

En este punto, la aplicación está completamente oculta para el usuario, ejecutándose en segundo plano en comunicación constante con un servidor de comando y control ejecutado por los actores de la amenaza. La única interfaz de usuario que vimos cuando analizamos BRATA después de que se otorgó el acceso a los servicios de accesibilidad fue la siguiente pantalla, creada por el malware para robar el PIN del dispositivo y usarlo para desbloquearlo cuando el teléfono está desatendido. La pantalla pide al usuario que confirme el PIN, validándolo con el real porque cuando se ingresa un PIN incorrecto se muestra un mensaje de error y la pantalla no desaparecerá hasta que se ingrese el PIN correcto:

Figura 5. BRATA intenta robar el PIN del dispositivo y confirma si se proporciona el correcto

Capacidades BRATA

Una vez que se ejecuta la aplicación maliciosa y se han otorgado los permisos de accesibilidad, BRATA puede realizar casi cualquier acción en el dispositivo comprometido. Aquí está la lista de comandos que encontramos en todas las cargas útiles que hemos analizado hasta ahora:

  • Robar pantalla de bloqueo (PIN / Contraseña / Patrón)
  • Captura de pantalla: graba la pantalla del dispositivo y envía capturas de pantalla al servidor remoto.
  • Ejecutar acción: interactuar con la interfaz del usuario abusando de los servicios de accesibilidad
  • Desbloquear dispositivo: use PIN / contraseña / patrón robado para desbloquear el dispositivo
  • Iniciar / Programar almuerzo de actividad: abre una actividad específica proporcionada por el servidor remoto
  • Iniciar / Detener el registrador de teclas: captura la entrada del usuario en campos editables y la filtra a un servidor remoto
  • Inyección de texto de la interfaz de usuario: inyecta una cadena proporcionada por el servidor remoto en un campo editable
  • Ocultar / mostrar llamadas entrantes: establece el volumen del timbre en 0 y crea una pantalla completamente negra para ocultar una llamada entrante
  • Manipulación del portapapeles: inyecta una cadena proporcionada por el servidor remoto en el portapapeles

Además de los comandos anteriores, BRATA también realiza acciones automatizadas al abusar de los servicios de accesibilidad para ocultarse del usuario o otorgarse privilegios automáticamente:

  • Oculta el mensaje de advertencia de proyección de medios que advierte explícitamente al usuario que la aplicación comenzará a capturar todo lo que se muestra en la pantalla.
  • Se concede a sí mismo cualquier permiso haciendo clic en el botón "Permitir" cuando aparece el cuadro de diálogo de permisos en la pantalla.
  • Desactiva Google Play Store y, por lo tanto, Google Play Protect.
  • Se desinstala en caso de que aparezca la interfaz de Configuración con los botones “Desinstalar” y “Forzar detención” en la pantalla.

Expansión geográfica y funcionalidad troyana bancaria

Las versiones anteriores de BRATA, como OutProtect y PrivacyTitan, se diseñaron para apuntar a usuarios brasileños solo al limitar su ejecución a dispositivos configurados para el idioma portugués en Brasil. Sin embargo, en junio notamos que los actores de amenazas detrás de BRATA comenzaron a agregar soporte a otros idiomas como español e inglés. Dependiendo del idioma configurado en el dispositivo, el malware sugirió que una de las siguientes tres aplicaciones necesitaba una actualización urgente: WhatsApp (español), un lector de PDF inexistente (portugués) y Chrome (inglés):

Figura 6. Aplicaciones a las que se solicitó falsamente que se actualicen según el idioma del dispositivo

Además de la localización de las cadenas de la interfaz de usuario, también notamos que los actores de amenazas han actualizado la lista de aplicaciones financieras específicas para agregar algunas de España y EE. UU. En septiembre, la lista de objetivos tenía alrededor de 52 aplicaciones, pero solo 32 tenían URL de phishing. Además, de las 20 aplicaciones bancarias de EE. UU. Presentes en la última lista de objetivos, solo 5 tenían URL de phishing. A continuación, se muestra un ejemplo de sitios web de suplantación de identidad que se mostrarán al usuario si hay aplicaciones bancarias específicas de EE. UU. En el dispositivo comprometido:

Figura 7. Ejemplos de sitios web de phishing que se hacen pasar por bancos de EE. UU.

Múltiples capas y etapas de ofuscación

A lo largo de 2020, BRATA evolucionó constantemente, agregando diferentes capas de ofuscación para impedir su análisis y detección. Uno de los primeros cambios importantes fue trasladar su funcionalidad principal a un servidor remoto para que pueda actualizarse fácilmente sin cambiar la aplicación maliciosa original. El mismo servidor se utiliza como primer punto de contacto para registrar el dispositivo infectado, proporcionar una lista actualizada de aplicaciones financieras específicas y luego entregar la dirección IP y el puerto del servidor que utilizarán los atacantes para ejecutar comandos de forma remota en el dispositivo comprometido:

Figura 8. Comunicación de red de alto nivel BRATA

Las capas de protección adicionales incluyen ofuscación de cadenas, verificación de país e idioma, cifrado de ciertas cadenas de claves en la carpeta de activos y, en las últimas variantes, el uso de un empaquetador comercial que previene aún más el análisis estático y dinámico de las aplicaciones maliciosas. La siguiente ilustración proporciona un resumen de las diferentes capas de protección y etapas de ejecución presentes en las últimas variantes de BRATA:

Figura 9. Capas de protección BRATA y etapas de ejecución

Prevención y defensa

Para infectarse con BRATA, los usuarios deben instalar la aplicación maliciosa de Google Play, por lo que a continuación se incluyen algunas recomendaciones para evitar ser engañados por esta o cualquier otra amenaza de Android que usa ingeniería social para convencer a los usuarios de que instalen malware que parece legítimo:

  • No confíe en una aplicación de Android solo porque está disponible en la tienda oficial. En este caso, las víctimas se ven principalmente atraídas a instalar una aplicación que promete un dispositivo más seguro al ofrecer una actualización falsa. Tenga en cuenta que en Android, las actualizaciones se instalan automáticamente a través de Google Play, por lo que los usuarios no deberían requerir la instalación de una aplicación de terceros para tener el dispositivo actualizado.
  • Seguridad móvil de McAfee alertará a los usuarios si están intentando instalar o ejecutar un software malicioso, incluso si se descarga de Google Play. Recomendamos a los usuarios tener instalado un antivirus confiable y actualizado en sus dispositivos móviles para detectar esta y otras aplicaciones maliciosas.
  • No haga clic en enlaces sospechosos recibidos de mensajes de texto o redes sociales, especialmente de fuentes desconocidas. Siempre verifique dos veces por otros medios si un contacto que envía un enlace sin contexto fue realmente enviado por esa persona, ya que podría conducir a la descarga de una aplicación maliciosa.
  • Antes de instalar una aplicación, verifique la información del desarrollador, los permisos solicitados, la cantidad de instalaciones y el contenido de las revisiones. A veces, las aplicaciones pueden tener una calificación muy buena, pero la mayoría de las reseñas pueden ser falsas, como descubrimos en Android / LeifAccess. Tenga en cuenta que la manipulación de clasificación ocurre y que las reseñas no siempre son confiables.

La activación de los servicios de accesibilidad es muy sensible en Android y clave para la ejecución exitosa de este troyano bancario porque, una vez otorgado el acceso a esos servicios, BRATA puede realizar todas las actividades maliciosas y tomar el control del dispositivo. Por esta razón, los usuarios de Android deben tener mucho cuidado al otorgar este acceso a cualquier aplicación.

Los servicios de accesibilidad son tan poderosos que en manos de una aplicación maliciosa podrían usarse para comprometer completamente los datos de su dispositivo, su banca y finanzas en línea, y su vida digital en general.

El malware BRATA para Android sigue evolucionando, otra buena razón para proteger los dispositivos móviles

Cuando BRATA se descubrió inicialmente en 2019 y se denominó "Android RAT brasileño”Por Kaspersky, se dijo que, teóricamente, el malware puede usarse para atacar a otros usuarios si los ciberdelincuentes detrás de esta amenaza quisieran hacerlo. Con base en las variantes más recientes encontradas en 2020, la teoría se ha hecho realidad, mostrando que esta amenaza está actualmente muy activa, agregando constantemente nuevos objetivos, nuevos lenguajes y nuevas capas de protección para dificultar su detección y análisis.

En términos de funcionalidad, BRATA es solo otro ejemplo de cuán poderoso es el (ab) uso de los servicios de accesibilidad y cómo, con solo un poco de ingeniería social y persistencia, los ciberdelincuentes pueden engañar a los usuarios para que otorguen este acceso a una aplicación maliciosa y básicamente obteniendo el control total del dispositivo infectado. Al robar el PIN, la contraseña o el patrón, combinado con la capacidad de grabar la pantalla, hacer clic en cualquier botón e interceptar todo lo que se ingrese en un campo editable, los autores de malware pueden obtener prácticamente cualquier información que deseen, incluidas las credenciales bancarias a través de páginas web de phishing. o incluso directamente desde las propias aplicaciones, mientras que también ocultan todas estas acciones al usuario.

A juzgar por nuestros hallazgos, la cantidad de aplicaciones encontradas en Google Play en 2020 y la creciente cantidad de aplicaciones financieras específicas, parece que BRATA continuará evolucionando, agregando nuevas funcionalidades, nuevos objetivos y nuevas técnicas de ofuscación para apuntar a tantos usuarios como posible, al mismo tiempo que intenta reducir el riesgo de ser detectado y eliminado de Play Store.

Seguridad móvil de McAfee detecta esta amenaza como Android / Brata. Para protegerse de esta y otras amenazas similares, emplee software de seguridad en sus dispositivos móviles y piénselo dos veces antes de otorgar acceso a servicios de accesibilidad a aplicaciones sospechosas, incluso si se descargan de fuentes confiables como Google Play.

Apéndice

Técnicas, tácticas y procedimientos (TTPS)

Figura 10. MITRE ATT & CK Mobile para BRATA

Indicadores de compromiso

Aplicaciones:

SHA256 Nombre del paquete Instala
4cdbd105ab8117620731630f8f89eb2e6110dbf6341df43712a0ec9837c5a9be com.outprotect.android 1000+
d9bc87ab45b0c786aa09f964a8101f6df7ea76895e2e8438c13935a356d9116b com.privacytitan.android 1000+
f9dc40a7dd2a875344721834e7d80bf7dbfa1bf08f29b7209deb0decad77e992 com.greatvault.mobile 10,000+
e00240f62ec68488ef9dfde705258b025c613a41760138b5d9bdb2fb59db4d5e com.pw.secureshield 5,000+
2846c9dda06a052049d89b1586cff21f44d1d28f153a2ff4726051ac27ca3ba7 com.defensescreen.application 10,000+

URL:

  • bialub (.) com
  • brorne (.) com
  • jachof (.) com





Enlace a la noticia original