Beware: Malicious 'BRATA' Android Remote Access Tool Threatens Online Banking Accounts

新しい強力なAndroidマルウェアファミリは、最近ブラジルのスマートフォンユーザーの間でラウンドを行っています。研究者はそれをBRATAと呼んでいますが、これはブラジルのRAT Androidの略です。 2019年1月にBRATAが最初に発見されて以来、少なくとも20の新しい亜種が報告されているため、マルウェアは無制限に増殖しているようです。このRATファミリーの広範な範囲は、主に悪意のあるバイナリの大部分がインスタントメッセージングサービスWhatsAppの更新を装った公式のGoogle Playストアで検出されました。

BRATAは、オンラインバンキング情報に特に興味を持っています。オンライン情報は、熱心に収集され、リアルタイムでオペレーターに送信されます。 BRATAの機能は、カスペルスキーラテンアメリカの研究者に最も感銘を与えましたが、このリモートアクセスツールは銀行口座のログイン資格情報と2要素認証トークンを盗むだけでなく、ユーザーメッセージと呼び出しをスパイし、ファイルを取得し、ユーザーのプライバシーを脅かす多くの活動。

現時点では、BRATAは携帯電話からオンライン銀行口座を確認するユーザーにとって金銭的な脅威であり、ブラジルにいるAndroidユーザーにのみ影響します。ただし、いつでも世界の他のすべての地域にジャンプできない理由はありません。さらに、このマルウェアは、ユーザーファイルをロックし、解読キーと引き換えに身代金の支払いを要求する恐ex的な脅威に容易に進化する可能性もあります。これまでのところ、Kasperskyの研究者は、BRATAは銀行のクライアントではなく銀行のクライアントのみをターゲットにしていると主張しています。

BRATAは少なくともAndroid Lollipop 5.0バージョンで正常に機能し、いくつかの感染経路があります。偽のWhatsAppの更新とは別に、ユーザーはスパムメッセージ、Google検索のスポンサーリンク、破損したWebサイトのプッシュ通知を介して感染することもできます。 BRATAは、よく知られているWhatsAppの脆弱性CVE-2019-3568を悪用して、ターゲットデバイスに感染します。次に、悪意のあるタスクを完了するために、RATはキーロギング機能とリアルタイムストリーミングサービスをアクティブにします。このマルウェアは、Androidのアクセシビリティサービス機能を通じて被害者の携帯電話にインストールされている他のアプリケーションと対話することにより、影響を受けるデバイスを完全に制御します。

現在、 偽のWhatsAppコピーはブラジルのGoogle Playストアから削除されていますが、開発者は今後のアップロードを禁止されています。それでも、BRATAはモバイルアプリケーションのサードパーティ市場に広がり、他の地域のGoogle Playストアにまもなく登場する可能性がある、と研究者は警告しています。