Cuidado: Ferramenta de acesso remoto Android "BRATA" maliciosa ameaça contas bancárias on-line

Uma nova e poderosa família de malware para Android está circulando entre os usuários de smartphones no Brasil atualmente. Os pesquisadores se referem a ele como BRATA , que está aquém do Android RAT brasileiro. Parece que o malware está proliferando sem limites, pois pelo menos 20 novas variantes foram relatadas desde a descoberta inicial do BRATA em janeiro de 2019. O amplo alcance dessa família RAT se deve principalmente ao fato de a maioria dos binários maliciosos ter sido detectado na loja oficial do Google Play, disfarçado de atualizações para o serviço de mensagens instantâneas WhatsApp.

A BRATA está particularmente interessada em informações bancárias on-line, que coleta e envia diligentemente para seus operadores em tempo real. Essa funcionalidade do BRATA impressionou mais os pesquisadores da Kaspersky Latin America, embora essa ferramenta de acesso remoto não seja capaz de roubar credenciais de login de contas bancárias e tokens de autenticação de dois fatores, mas também espie mensagens e chamadas de usuários, recupere arquivos e muitas outras atividades que ameaçam a privacidade do usuário.

No momento, o BRATA continua sendo uma ameaça financeira para os usuários que verificam suas contas bancárias on-line a partir de seus celulares e afeta apenas usuários do Android localizados no Brasil. No entanto, não há razão para que não possa saltar para todas as outras regiões do mundo a qualquer momento. Além disso, esse malware também pode evoluir facilmente para um tipo de ameaça de extorsão que bloqueia os arquivos do usuário e exige o pagamento de um resgate em troca de uma chave de descriptografia. Até agora, os pesquisadores da Kaspersky afirmam que o BRATA visa apenas os clientes dos bancos, mas não os próprios bancos.

O BRATA funciona corretamente em pelo menos a versão Android Lollipop 5.0 e possui vários vetores de infecção. Além das atualizações falsas do WhatsApp, os usuários também podem ser infectados por mensagens de spam, links patrocinados nas pesquisas do Google e notificações push em sites corrompidos. O BRATA abusa da conhecida vulnerabilidade do WhatsApp CVE-2019-3568 para infectar o dispositivo de destino. Em seguida, para concluir suas tarefas maliciosas, o RAT ativa um recurso de registro de chaves e um serviço de streaming em tempo real. O malware assume o controle total do dispositivo afetado, interagindo com outros aplicativos instalados no telefone da vítima por meio do recurso Serviço de Acessibilidade do Android.

Atualmente, as cópias falsas do WhatsApp foram removidas da Google Play Store brasileira, enquanto o desenvolvedor foi banido de envios futuros. No entanto, o BRATA ainda se espalha por mercados de terceiros para aplicativos móveis e poderá surgir em breve em outras lojas regionais do Google Play, alertam os pesquisadores.