Skip to main content

El malware BRATA evoluciona: esto es lo que tienes que saber

BRATA es un malware, es decir, un software malicioso diseñado para llevar a cabo fraudes bancarios, que fue descubierto en 2019 por la compañía especializada Kaspersky. El asunto es que no se ha mantenido estático, sino que ha evolucionado con el propósito de hacer más daño, como lo cuenta el equipo de expertos en ciberseguridad de Cleafy.

La firma indica que fue en junio de 2021 cuando detectó por primera vez una nueva variante de BRATA, en tanto que en diciembre pasado empezó a circular otra. Entonces, ¿cuántas versiones del malware existen? ¿Cómo es que se desarrolla en términos de nuevos objetivos y características?

Te va a interesar:

Evolución de BRATA

hombre usando el teclado de su smartphone – mejores apps de mensajería
Photo by Jonas Leupe on Unsplash

Cleafy habla de dos nuevas oleadas de muestras de BRATA. La primera inició en noviembre de 2021 y la segunda, a mediados de diciembre del mismo año.

“Los atacantes comenzaron a entregar algunas nuevas variantes personalizadas de BRATA en diferentes países (durante la segunda oleada), en particular contra clientes bancarios de Reino Unido, Polonia, Italia y América Latina, aunque también detectamos algunas muestras que contenían cadenas en español y chino”, precisa la empresa.

En este sentido, los expertos de la firma hablan de tres variantes del malware por el momento: BRATA.A, BRATA.B y BRATA.C.

La primera es la más extendida durante los meses pasados y se le reconocen, principalmente, dos nuevas características: el rastreo GPS del dispositivo de la víctima y la capacidad de ejecutar un restablecimiento de fábrica del equipo infectado.

Con las mismas características está BRATA.B, sin embargo, “las principales diferencias encontradas son la ofuscación parcial del código y el uso de páginas superpuestas personalizadas para robar el número de seguridad (o PIN) de la aplicación bancaria objetivo”, afirma Cleafy.

Respecto a BRATA.C, está compuesto de un dropper inicial (programa malintencionado) que se utiliza para descargar y ejecutar la aplicación maliciosa más adelante.

Efectos de BRATA

No son pocas las nuevas características que Cleafy menciona sobre la evolución de BRATA. El malware tiene sus propios métodos personalizados para monitorear las cuentas bancarias y las acciones de otras víctimas llevadas a cabo en su dispositivo móvil. “Los atacantes conseguirán permisos del Servicio de accesibilidad durante las fases de instalación con el fin de observar las actividades realizadas por la víctima y usar el módulo VNC para recuperar información privada que se despliega en la pantalla del equipo (como por ejemplo saldo de la cuenta bancaria e historial de transacciones)”.

Sobre el rastreo GPS, los analistas suponen que los creadores de malware solicitan este permiso para desarrollos futuros, probablemente para dirigirse a personas que pertenecen a determinados países o para habilitar otros mecanismos de retiro

Con relación al restablecimiento de fábrica, se ejecuta en dos casos: cuando un fraude bancario se ha completado con éxito (con lo que la víctima perderá más tiempo antes de comprender que ocurrió una acción maliciosa) y cuando la aplicación se instala en un entorno virtual (BRATA intenta evitar el análisis dinámico mediante la ejecución de esta función).

Por último, el malware cuenta con la capacidad para usar múltiples canales de comunicación (HTTP y PCP) entre el dispositivo y el servidor C2 (el sistema que da las órdenes a equipos infectados) con la intención de mantener una conexión persistente.

Hallazgos

El equipo de Cleafy considera que BRATA trata de llegar a nuevos objetivos y desarrollar nuevas funciones. “Pudimos recopilar evidencia y monitorear cómo los atacantes están aprovechando este troyano bancario para realizar fraudes, normalmente a través de transferencias bancarias no autorizadas o pagos instantáneos, al utilizar una amplia red de cuentas de mulas en varios países europeos”, enfatizan.

Así, según los hallazgos de las investigaciones, aseveran que el malware continuará sin ser detectado y desarrollando nuevas funciones.

Recomendaciones del editor