McAfee Labs ha informado de un nuevo malware de Android, que aparentemente avisa a los usuarios sobre aparentes problemas de seguridad y los engaña para que descarguen una herramienta de acceso remoto (RAT). Posteriormente, este último permite a los piratas informáticos hacerse cargo de los dispositivos de forma remota y obtener el control de prácticamente cualquier cosa en un teléfono inteligente. Informado por los investigadores de McAfee Fernando Ruiz y Carlos Castillo, el malware, del que existen múltiples variantes, parece provenir de una familia llamada BRATA – Brazilian Remote Access Tool Android.
A pesar de que aparentemente se dirige a usuarios en Brasil, España y EE. UU., Las aplicaciones con malware BRATA pueden infectar a cualquier persona, en cualquier lugar. El malware se está propagando a través de varias aplicaciones en Google Play Store, todas las cuales parecen estar haciéndose pasar por aplicaciones de seguridad para dispositivos Android. Algunas aplicaciones, como revela la publicación de McAfee, tienen entre 1,000 y 5,000 descargas, mientras que algunas de estas aplicaciones de seguridad tienen más de 10,000 descargas. Estas aplicaciones aparentemente tienen una cantidad determinada de aplicaciones de destino y, una vez descargadas, escanean los teléfonos para ver si estas aplicaciones están instaladas en el teléfono de destino. Estas aplicaciones incluyen Google Chrome, WhatsApp, lectores de PDF y más.
Una vez escaneadas, estas aplicaciones muestran a los usuarios que dicha aplicación (como Chrome) debe actualizarse inmediatamente en base a una brecha de seguridad, y una vez que un usuario la toca, en lugar de descargar una actualización legítima, la aplicación descarga una carga útil de malware que se instala una puerta trasera en el dispositivo de un usuario. Esta puerta trasera es esencialmente una herramienta de acceso remoto (RAT) que los piratas informáticos pueden explotar para controlar de forma remota el teléfono inteligente de un usuario y llevar a cabo una amplia gama de tareas maliciosas.
Como afirman los investigadores sobre el malware, “además de poder tener el control total del dispositivo infectado abusando de los servicios de accesibilidad, BRATA ahora ofrece URL de phishing basadas en la presencia de ciertas aplicaciones financieras y bancarias definidas por el comando y control remoto servidor.”
La familia de malware, que se encuentra entre las RAT más comunes en el ecosistema de Android, también ha evolucionado con el tiempo hasta su última forma. Como se describe, “Las nuevas variantes de BRATA agregaron nuevas capas de protección como la ofuscación de cadenas, el cifrado de archivos de configuración, el uso de empaquetadores comerciales y el traslado de su funcionalidad principal a un servidor remoto para que pueda actualizarse fácilmente sin cambiar la aplicación principal. Algunas variantes de BRATA también comprueban primero si vale la pena atacar el dispositivo antes de descargar y ejecutar su carga útil principal, lo que lo hace más evasivo para los sistemas de análisis automatizados “.
Se insta a los usuarios a no descargar aplicaciones no verificadas, aunque puedan hacerse pasar por servicios de seguridad. Las aplicaciones de malware BRATA obtuvieron la capacidad de instalar la RAT al tomar privilegios de accesibilidad de un usuario, que es la clave en tales ataques cibernéticos.
Gracias por leer hasta el final de este artículo. Para obtener más contenido tecnológico informativo y exclusivo, como nuestra página de Facebook
