Desde noviembre, nuevas variantes del troyano bancario BRATA se dirigen a los dispositivos Android de todo el mundo con características avanzadas, como la capacidad de borrar los dispositivos después de robar los datos del usuario, el seguimiento de los dispositivos mediante GPS y novedosas técnicas de ofuscación, según han descubierto los investigadores.

El troyano de acceso remoto (RAT) tiene como objetivo a los bancos y las instituciones financieras. Se distribuye a través de un descargador para evitar ser detectado por los antivirus. Los investigadores descubrieron BRATA en enero de 2019, proliferando a través de la tienda Google Play. El RAT tenía la capacidad única de recopilar y transmitir información bancaria a sus operadores en tiempo real.

Desde entonces, los actores que están detrás de la RAT han seguido apuntando a las instituciones financieras y añadiendo nuevas capacidades al malware. El equipo ha identificado tres nuevas variantes de BRATA que han sido entregadas a través de dos nuevas oleadas de muestras en los últimos meses.

La primera oleada comenzó en noviembre de 2021, y la segunda hacia mediados de diciembre de 2021. Durante la segunda oleada, los actores de la amenaza comenzaron a entregar algunas nuevas variantes adaptadas de BRATA en diferentes países.

Nuevas variantes y capacidades de limpieza

La más frecuente de las variantes observadas por los investigadores es BRATA.A, que tiene dos nuevas características clave, informaron los investigadores. Una es el rastreo por GPS de los dispositivos de las víctimas, una capacidad que “parece estar todavía en desarrollo”, escribieron los investigadores. El RAT solicita permiso para utilizar el GPS en la instalación, pero no parece utilizarlo realmente durante la ejecución.

Por esta razón, podríamos suponer que los desarrolladores del malware están solicitando este permiso para futuros desarrollos, muy probablemente para dirigirse a personas que pertenecen a países específicos o para habilitar otros mecanismos de cobro (por ejemplo, cajeros automáticos sin tarjeta).

BRATA.A también cuenta con un “interruptor de apagado” que sirve para realizar un restablecimiento de fábrica del dispositivo en dos situaciones:

El primero es después de que se haya completado con éxito un fraude bancario. De este modo, la víctima va a perder aún más tiempo antes de comprender que se ha producido una acción maliciosa.

El segundo caso en el que BRATA borra un dispositivo es cuando la aplicación se instala en un entorno virtual, ya que la RAT intenta evitar el análisis dinámico mediante la ejecución de esta función. La segunda versión del virus informático, BRATA.B, también funciona de manera muy parecida.

Un troyano inteligente con la capacidad para camuflarse

BRATA.C es la tercera variante nueva. Es una clara muestra de la evolución en el método que utilizan sus operadores para evitar que el RAT sea detectado al ser instalado por los usuarios.

La variante utiliza un dropper inicial para descargar y ejecutar la aplicación maliciosa “real” más tarde, demostrando una forma única que se desvía de cómo otros actores de troyanos bancarios de Android intentan evadir la detección por parte de las soluciones AV, escribieron los investigadores.

Aunque la mayoría de los troyanos bancarios de Android intentan ofuscar/encriptar el núcleo del malware en un archivo externo (por ejemplo, .DEX o .JAR), BRATA utiliza una aplicación mínima para descargar en un segundo paso el núcleo de la aplicación BRATA (.APK).

Después de que la víctima instale la app descargadora, ésta requiere la aceptación de un solo permiso para descargar e instalar la aplicación maliciosa desde una fuente no fiable.

En general, los últimos descubrimientos demuestran que los operadores de BRATA pretenden ampliar el alcance regional de sus objetivos, así como que planean hacer evolucionar aún más el malware, con pocos indicios de frenar en un futuro próximo.