El equipo de ciberseguridad de McAfee ha detectado la presencia de nuevo malware en Play Store. Curiosamente, son aplicaciones que se hacen pasar por escáneres de seguridad en Android, aunque son troyanos capaces de capturar las credenciales de bloqueo de pantalla para monitorizar la actividad del dispositivo e incluso robar claves bancarias.
El malware se denomina BRATA y lleva en Android desde 2018. Desde dicha fecha se ha ido expandiendo, desde Brasil (lugar donde empezó a distribuirse) hasta centrarse ahora en España y Estados Unidos. BRATA es un malware sofisticado que sigue evolucionando, por lo que hay que tener especial cuidado con él.
BRATA: un malware que sigue avanzando y que llega a España
BRATA se descubrió por primera vez en 2018 y su nombre viene de 'Brazilian Remote Access Tool Android'. El malware es capaz de controlar por completo el dispositivo, mostrando páginas de phishing que permiten robar credenciales bancarias. Del mismo modo, funciona como un keylogger, por lo que puede detectar las pulsaciones en pantalla del usuario para capturarlas y conocer todas las credenciales y contraseñas.
Lo más grave es que este malware se descarga en la tienda oficial de Google, a través de distintas aplicaciones que han llegado a superar las 10.000 descargas. Conforme se han ido eliminado estas apps de Play Store, BRATA ha ido agregando nuevas capas de protección mediante ofuscado, cifrado de archivos de configuración y nuevos servidores. En resumidas cuentas, desde 2018 no ha parado de distribuirse y hacerse cada vez más fuerte.
Según indica el informe de Mcafee, en 2020 los actores tras BRATA lograron publicar varias aplicaciones en Google Play, alcanzando la mayoría entre mil y 5 mil descargas, con picos de 10 mil descargas en algunas de ellas. La mayoría de ellas son apps que intentan hacerse pasar por aplicaciones de seguridad, haciéndonos descargar a su vez más archivos maliciosos.
"BRATA se hace pasar por un escáner de aplicaciones de seguridad que pretende escanear todas las aplicaciones instaladas, mientras que en segundo plano verifica si alguna de las aplicaciones de destino proporcionadas por un servidor remoto está instalada en el dispositivo del usuario. Si ese es el caso, instará al usuario a instalar una actualización falsa de una aplicación específica seleccionada según el idioma del dispositivo."
Al igual que pasó con el malware Flubot, BRATA obtiene permisos completos para controlar el dispositivo, algo que lo hace muy peligroso. El icono principal de la app se oculta, pero se ejecuta en segundo plano con un servidor. Es capaz incluso de crear una pantalla de inicio falsa para que metamos nuestro PIN, pudiendo así robarlo. En concreto, estas son las funciones que puede realizar BRATA.
Robar pantalla de bloqueo (PIN / Contraseña / Patrón)
Captura de pantalla: graba la pantalla del dispositivo y envía capturas de pantalla al servidor remoto
Ejecutar acciones: interactuar con la interfaz del usuario abusando de los servicios de accesibilidad
Desbloquear dispositivo: use PIN / contraseña / patrón robado para desbloquear el dispositivo
Iniciar / Programar inicio de actividad: abre una actividad específica proporcionada por el servidor remoto
Iniciar / Detener el registro de teclas: captura la entrada del usuario en campos editables y la filtra a un servidor remoto
Inyección de texto de la interfaz de usuario: inyecta una cadena proporcionada por el servidor remoto en un campo editable
Ocultar / mostrar llamadas entrantes: establece el volumen del timbre en 0 y crea una pantalla completamente negra para ocultar una llamada entrante
Manipulación del portapapeles: inyecta una cadena proporcionada por el servidor remoto en el portapapeles
Del mismo modo, Mcafee indica que BRATA es capaz de desactivar Google Play Protect para descargar malware a su antojo y que puede darse permisos a ella misma para funcionar con vía libre.
Aunque las últimas apps reportadas se han eliminado de Play Store, el malware sigue activo, por lo que se recomienda no instalar aplicaciones sospechosas. Siempre se recomienda comprobar bien de dónde procede la app, quién es su desarrollador y, por supuesto, jamás darle permisos completos de accesibilidad.
Más información | McAfee