Hay amenazas que a veces evolucionan y 'pasan de nivel'. Es lo que le ha ocurrido al malware para Android BRATA. Según advierte la firma de ciberseguridad italiana Cleafy, este está operando bajo los patrones de una amenaza persistente avanzada (APT).
BRATA fue detectado en primer término a finales del año pasado con tres variantes en Gran Bretaña, Italia y España. Sin embargo, el grupo tras esta amenaza habría cambiado sus patrones en los últimos meses.
Desde la compañía de seguridad aseguran que los actores de amenazas tras BRATA ahora están usando como objetivo una institución financiera específica y cambiando su entoque solo una vez que la víctima objetivo empieza a implementar contramedidas consistentes contra él".
Sería en ese momento cuando el malware se aleja de su foco, para salir con "un objetivo distinto y diferentes estrategias de infección".
Desmontando a BRATA.A
Para Cleafy la evolución de esta amenaza le merece una nueva denominación, pasando a llamar a su variante avanzada como BRATA.A.
Así, BRATA.A ha sido encontrada en países de la Unión Europea haciéndose pasar por apps bancarias específicas, incluyendo algunos cambios internos. Entre sus nuevos poderes está una técnica de phising que implica la creación y despliegue de de una página de inicio de sesión falsa que imita el diseño web del banco objetivo para recopilar credenciales.
Además, BRATA.A ha evolucionado en cuanto a los permisos. “Una vez instalado, el patrón del ataque es similar al de otros ladrones de SMS. Consiste en que la app maliciosa le pide al usuario que cambie la app de mensajería predeterminada por la maliciosa para interceptar todos los mensajes entrantes”, explican desde Cleafy.
Por otro lado, el nuevo malware tiene la capacidad de descargar un fragmento de código que ha tomado prestado del C2 para realizar un registro de eventos en los dispositivos infectados.
Los investigadores destacan como el BRATA original se distribuía mediante antivirus falsos o apps comunes, mientras las nuevas campañas se han servido de un ataque APT dirigido contra clientes de un banco italiano en particular. Este sería el patrón que creen que seguirán este tipo de amenazas, entregando apps maliciosas contra un banco en concreto durante unos meses y pasando después a otro objetivo.