McAfee Labs heeft een nieuwe Android-malware gemeld, die gebruikers blijkbaar waarschuwt voor schijnbare beveiligingsproblemen en hen verleidt tot het downloaden van een tool voor externe toegang (RAT). Met dit laatste kunnen hackers vervolgens apparaten op afstand overnemen en controle krijgen over vrijwel alles op een smartphone. Gerapporteerd door McAfee-onderzoekers Fernando Ruiz en Carlos Castillo, lijkt de malware, waarvan er meerdere varianten zijn, afkomstig te zijn van een familie genaamd BRATA – Brazilian Remote Access Tool Android.
Ondanks dat ze zich blijkbaar richten op gebruikers in Brazilië, Spanje en de VS, kunnen BRATA-malware-beladen apps iedereen en overal infecteren. De malware verspreidt zich via verschillende apps in de Google Play Store, die allemaal lijken op te treden als beveiligingsapps voor Android-apparaten. Sommige apps hebben, zoals het bericht van McAfee onthult, tussen de 1.000 en 5.000 downloads, terwijl sommige van deze beveiligings-apps meer dan 10.000 downloads hebben. Deze apps hebben blijkbaar een bepaald aantal doel-apps en zodra ze zijn gedownload, scannen ze telefoons om te zien of deze apps op de doeltelefoon zijn geïnstalleerd. Deze apps omvatten Google Chrome, WhatsApp, PDF-lezers en meer.
Na het scannen laten deze apps gebruikers zien dat de genoemde app (zoals Chrome) onmiddellijk moet worden bijgewerkt op basis van een beveiligingsinbreuk, en zodra een gebruiker erop tikt, downloadt de app een nuttige lading in plaats van een legitieme update te downloaden. die een achterdeur op het apparaat van een gebruiker installeert. Deze achterdeur is in wezen een tool voor externe toegang (RAT) die hackers kunnen misbruiken om de smartphone van een gebruiker op afstand te bedienen en een breed scala aan kwaadaardige taken uit te voeren.
Zoals de malware-onderzoekers stellen: “Brata kan niet alleen de volledige controle over het geïnfecteerde apparaat krijgen door toegankelijkheidsservices te misbruiken, maar biedt nu ook phishing-URL’s op basis van de aanwezigheid van bepaalde financiële en bancaire toepassingen gedefinieerd door de externe command-and-control-server .”
De malwarefamilie, die tot de meest voorkomende RAT’s in het Android-ecosysteem behoort, is in de loop van de tijd ook geëvolueerd naar de nieuwste vorm. Zoals beschreven, “voegden nieuwe BRATA-varianten nieuwe beschermingslagen toe, zoals versluiering van strings, versleuteling van configuratiebestanden, gebruik van commerciële packers en het verplaatsen van de kernfunctionaliteit naar een externe server, zodat deze eenvoudig kan worden geüpgraded zonder de hoofdtoepassing te wijzigen. Sommige BRATA-varianten controleren ook eerst of het apparaat de moeite waard is om aan te vallen voordat ze de belangrijkste payload downloaden en uitvoeren, waardoor het ongrijpbaarder wordt voor geautomatiseerde analysesystemen.”
Gebruikers worden dringend verzocht geen niet-geverifieerde apps te downloaden, ook al kunnen ze zich voordoen als beveiligingsdiensten. BRATA-malwaretoepassingen kregen de mogelijkheid om de RAT te installeren door toegankelijkheidsrechten van een gebruiker te nemen, wat de sleutel is bij dergelijke cyberaanvallen.
Bedankt voor het lezen tot het einde van dit artikel. Voor meer informatieve en exclusieve technische inhoud, zoals onze Facebook-pagina
