“BRATA” es una nueva familia de malware de acceso remoto para Android. Le asignamos este nombre en base a su descripcion en ingles: “Brazilian RAT Android”. Se concentra exclusivamente en victimas en Brasil. Sin embargo, teoricamente tambien podria servir para atacar a cualquier usuario de Android si sus creadores asi lo quisieran. Se ha propagado ampliamente desde enero de 2019: en un inicio se alojaba en Google Play Store; ahora se encuentra en otras tiendas no oficiales de apps para Android. Para que este malware funcione correctamente, requiere al menos la version 5.0 de Android Lollipop.
Los ciberdelincuentes detras de BRATA emplean pocos vectores de infeccion. Por ejemplo, emplean notificaciones push en sitios web infectados, mensajes de WhatsApp o SMS o enlaces patrocinados en las busquedas de Google.
Las primeras muestras que encontramos circulando en Internet datan de enero y febrero de 2019; hasta el momento se cuentan 20 distintas variantes en Google Play Store, la mayoria de las cuales aparecen como una actualizacion de WhatsApp. BRATA explota activamente el parche CVE-2019-3568 para WhatsApp. Una vez que el dispositivo de la victima queda infectado, “BRATA” activa la funcion de registro de actividad en el teclado y le agrega la transmision en tiempo real. Usa los servicios de accesibilidad de Android para interactuar con otras aplicaciones instaladas en el dispositivo de la victima.
COMANDO | DESCRIPCION |
Iniciar/Detener transmision | Realiza capturas de pantalla del usuario y las envia en tiempo real. |
Apagar/Falso Apagar | Sirve para apagar la pantalla o darle al usuario la impresion de que la pantalla esta apagada mientras se realizan acciones en segundo plano. |
Informacion de dispositivo | Recupera informacion del sistema de Android, del usuario activo y sus cuentas registradas de Google; pero no otorga permisos para ejecutar apropiadamente el malware, e informacion de hardware. |
Solicitar Desbloquear/Desbloquear dispositivo | Solicita al usuario que desbloquee su dispositivo o lo haga de forma remota. |
Iniciar actividad | Ejecuta cualquier aplicacion instalada con un conjunto de parametros enviados mediante un archivo de datos JSON. |
Enviar texto | Busca una cadena de texto para introducir datos en cuadros de texto. |
Ejecutar/Desinstalar | Ejecuta cualquier aplicacion especificada o desinstala el malware y borra las huellas de la infeccion. |
Vale la pena mencionar que esta falsa actualizacion de WhatsApp ha registrado mas de 10.000 descargas desde la tienda oficial Google Play, alcanzando hasta 500 victimas por dia.
Los productos de Kaspersky detectan esta familia como “HEUR:Backdoor.AndroidOS.Brata”
Por lo general, siempre recomendamos a nuestros lectores que revisen cuidadosamente los permisos que cualquier app solicita en el dispositivo. Tambien es importante instalar una excelente y actualizada solucion antimalware con proteccion en tiempo real activada.
Referencia de hashes md5:
- 1d8cf2c9c12bf82bf3618becfec34ff7
- 4203e31024d009c55cb8b1d7a4e28064
- 4b99fb9de0e31004525f99c8a8ea6e46
Para obtener la lista completa de IoCs y de las normas YARA, visite el Portal de inteligencia de amenazas de Kaspersky https://tip.kaspersky.com/
Desde Brasil: BRATA, un RAT espía para Android completamente equipado