BRATA: el troyano brasileño de Android que se está extendiendo por Google Play
Cuando aún nos estamos recuperando del último caso de malware descubierto en Google Play, una nueva amenaza ya ronda por la tienda de aplicaciones del sistema operativo de Google.
Su nombre es BRATA, y se trata de un troyano de origen brasileño, que parece haber aterrizado en Android con el objetivo de hacerse pasar por aplicaciones populares como WhatsApp, Google Chrome o lectores de PDF para tomar el control de los dispositivos de las víctimas.
España y Estados Unidos parecen ser dos de los países, junto a Brasil, más afectados por esta amenaza.
Así funciona BRATA, el troyano que se hace pasar por apps populares
BRATA no es una amenaza nueva. Los investigadores expertos en ciberseguridad de McAfee afirman que las primeras pistas de este malware se descubrieron en 2018, y desde entonces ha ido apareciendo y desapareciendo de la tienda de aplicaciones. Su nombre es el acrónimo de Brazilian Remote Access Tool Android.
Y es que, precisamente eso es lo que hace este malware: intentar obtener el control de los dispositivos Android a los que infecta, para robar datos, grabar la pantalla o monitorizar el uso del dispositivo.
Para lograrlo, la aplicación se hace pasar por aplicaciones famosas, que los usuarios de los dispositivos infectados pensarían que son seguras.
En este caso, la aplicación se ha colado en Google Play disfrazada de distintas utilidades, algunas de ellas acumulando más de 10.000 instalaciones. En la imagen bajo estas líneas, se pueden ver las apps infectadas descubiertas por McAfee.
Al ejecutar una de las aplicaciones afectadas con este malware, se pedía a los usuarios instalar una falsa actualización de una app concreta. Un dato curioso en la forma de funcionar de esta app es que, dependiendo del idioma en el que esté configurado el dispositivo, se sugiere una aplicación u otra. En caso de tener el móvil en español, la aplicación utilizaba WhatsApp como cebo, mientras que en caso de usar inglés, se utilizaba Chrome.
En cualquier caso, las supuestas aplicaciones descargadas son falsas, y realmente la aplicación descargada era un malware capaz de, entre otras cosas, realizar capturas de la pantalla, manipular el contenido del portapapeles, ocultar llamadas entrantes, desbloquear el dispositivo o lanzar actividades. También realizan algunas acciones automatizadas a través del abuso de los permisos de accesibilidad del sistema.
Desde McAfee afirman que Google fue informada sobre la amenaza en octubre de 2020, y la compañía procedió a eliminar las aplicaciones infectadas de Google Play posteriormente. Aun así, se recomienda a los usuarios de Android comprobar si alguna de las apps afectadas está instalada en sus dispositivos, y si es así, eliminarlas lo antes posible.
Christian Collado - andro4all