BRATA, um malware para Android, ganhou novos recursos perigosos em sua versão mais recente, incluindo rastreamento por GPS, capacidade de utilizar vários canais de comunicação e uma função que realiza uma redefinição de fábrica do dispositivo para limpar todos os vestígios de atividades maliciosas. A última vez que o vírus foi visto foi no ano de 2019, onde a Kaspersky relatou que localizou o malware como um Android RAT (ferramenta de acesso remoto) e que os brasileiros eram o público mais visado.
Um relatório de dezembro de 2021 da Cleafy apontou que o BRATA apareceu na Europa. Usuários de e-banking tiveram suas credenciais roubadas ao serem enganados por fraudadores que se passavam por agentes de suporte ao cliente do banco. O malware continuou a ser monitorado desde então e recentemente, o site bleepingcomputer informou que foi publicado um novo relatório mostrando a evolução do vírus.
BRATA possui versões personalizadas para diferentes públicos
As últimas versões do malware BRATA atingiram usuários de e-baking do Reino Unido, Polônia, Itália, Espanha, China e América Latina. Há diversas variantes do vírus em diferentes bancos com sobreposições dedicadas, idiomas e modificações para públicos distintos.
Os desenvolvedores do BRATA utilizam técnicas de ofuscação parecidas em todas as versões como, por exemplo, agrupar o arquivo APK em um pacote criptografado JAR ou DEX. Essa técnica faz com que antivírus não detectem a presença do malware. Dessa forma, o BRATA busca ativamente sinais de presença de AV no dispositivo e tenta excluir ferramentas de segurança detectadas antes de prosseguir para a etapa de exfiltração de dados.
Novas características
Os novos recursos das versões mais recentes do BRATA que foram identificados pela Cleafy incluem a funcionalidade de keylogging, que traz a função de captura de tela. Além disso, o malware possui agora rastreamento por GPS, mas não se sabe exatamente a finalidade dele até o momento.
A alteração mais assustadora na nova atualização do BRATA é a redefinição de fábrica. Esta função do malware é utilizada nas seguintes situações:
- O comprometimento foi concluído com sucesso e a transação fraudulenta terminou (ou seja, as credenciais foram exfiltradas).
- O aplicativo detectou que é executado em um ambiente virtual, provavelmente para análise.
A redefinição de fábrica é utilizada pelo BRATA como um kill switch para autoproteção. Porém, ao "limpar" o aparelho, a vítima pode perder de forma irreversível dados importantes.
Novos canais de comunicação foram adicionados ao BRATA para realizar a troca de dados com o servidor C2 e agora suporte HTTP e WebSockets. Ao utilizar WebSockets, os criminosos podem utilizar um canal direto e de baixa latência, ideal para a comunicação em tempo real e exploração manual ao vivo. Além disso, os WebSockets não precisam enviar cabeçalhos para cada conexão e com isso o volume de tráfego é reduzido e as chances de detecção são minimizadas.
Dicas para se manter seguro
A melhor forma de evitar ser infectado por algum malware no Android é instalar aplicativos da Google Play, evitar APKs de sites duvidosos. Ao instalar os apps, sempre preste atenção para as permissões que são solicitadas e evite conceder acesso para aquelas que são desnecessárias para a funcionalidade principal do aplicativo.