En el marco de la Cumbre Latinoamericana de Ciberseguridad 2019, los investigadores de Kaspersky anunciaron el descubrimiento de BRata, un nuevo malware basado en herramientas de acceso remoto (RAT, por sus siglas en inglés) que puede tomar el control de nuestros dispositivos y espiar todas nuestras actividades, tanto de nuestra vida virtual como real.

En Tecnología 21 quisimos conocer más sobre este malware y entrevistamos a Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, quien nos brindó información detallada sobre dónde se originó, cuáles son sus métodos de propagación y, por supuesto, cómo evitar ser una de sus víctimas.

Un malware con ADN Brasileño

Según el director del Equipo Global de Investigación y Análisis de Kaspersky, BRata es una herramienta de administración remota (RAT) desarrollada en Brasil para atacar a dispositivos Adroid.

"BRata es un nombre propio de una versión de RAT para dispositivos Android. ¿Por qué le llamamos BRata? B de Brasil, RAT de remote access tool o herramienta de administración remota, y la letra A corresponde a Android.  Entonces, una herramienta de acceso remoto, RAT de Brasil: BRata"; explicó Bestuzhev.

Puede tomar el control absoluto de tu dispositivo

Si el atacante que está detrás de BRata llega a tener acceso al dispositivo móvil infectado, puede prender la pantalla, ver lo que hay en el dispositivo, manipular las aplicaciones, robar los correos, las fotos, acceder a la geolocalización y mirar el historial de visitas de los sitios web; es decir, el atacante puede tener el control absoluto del dispositivo y ser un segundo dueño, pero de forma ilegal.

A través de este malware espía, los cibercriminales pueden visualizar la pantalla de su víctima, con la posibilidad de activar la cámara y el micrófono del dispositivo.

Inicialmente, se usó para robar credenciales de aplicaciones bancarias 

El objetivo original del grupo criminal detrás de BRata, fue robar las credenciales de acceso a las aplicaciones móviles de la banca en línea. De esta forma, los criminales podían replicar la sesión y transferir los fondos de la víctima hacia otras cuentas, causando un impacto financiero inmediato en las cuentas personales de las aplicaciones bancarias que el usuario pudiera tener en su dispositivo.

Además de este principal objetivo, al tener un acceso completo sobre el dispositivo móvil, los atacantes también pueden robar información y utilizarlas para el chantaje, la extorsión y otros fines que se les ocurra.

BRata puede llegar a ti de tres maneras

De acuerdo con la explicación que nos dio el especialista de Kaspersky, BRata se diseminó a través de las siguientes tres formas:

UNO: A través de la tienda de aplicaciones de Google. La principal forma de propagación se dio a través de Google Play. El malware apareció en la famosa tienda como un parche de WhatsApp que más de 10 mil usuarios descargaron pensando que se trataba de una actualización oficial.

"Lastimosamente, en este caso, el usuario no puede hacer nada, sino tener un antivirus que detecte las aplicaciones; pero esta es una responsabilidad del usuario final, del dueño del dispositivo. Usar antivirus y qué antivirus usar para que realmente detecte aplicaciones como BRata", explicó el jefe del Equipo Global de Investigación y Análisis de Kaspersky.

DOS: A través de mensajes de WhatsApp y SMS. El malware no solo se propagó a través de Google Play, sino que también lo hizo "través de mensajes condimentados con alta ingeniería social enviados por Whatsapp y mensajes de texto".

Par evitar esta modalidad de ataque, el especialista indicó que es importante que el usuario sepa cómo funciona la ingeniería social para identificar aquellos mensajes que son sospechosos y que corresponden al engaño.

TRES: A través de anuncios o notificaciones emergentes. BRata también se propagó a través de anuncios emergentes en sitios web legítimos o jaqueados. Según el especialista en seguridad informática, en este escenario, el usuario puede hacer mucho: "puede decidir si dar clic o no".

Al instalar cualquier aplicación móvil, esta nos solicitará permisos de acceso a ciertas funcionalidades del sistema operativo. Como por ejemplo: habilitar el acceso a la cámara, al micrófono, etc."La decisión de habilitad estos accesos está en las manos del usuario. Cuando uno instala algo, tiene que ver cuidadosamente los permisos que se solicitan y luego decidir"; aconsejó, Bestuzhev.

Adicionalmente, recomendó que "en vez de permitir todo por defecto y luego ver". Debemos hacer al revés. "No permitir o solo permitir aquello que de verdad necesitamos y denegar todo lo demás. En caso de que la aplicación no funcione correctamente, se deben habilitar funciones que se necesitan, pero no todas los que supuestamente necesita una aplicación", detalló.

¿Cómo identificar un ataque de ingeniería social?

Según las declaraciones del especialista, la ingeniería social combina algunos factores que si vienen en conjunto deberían levantar alguna sospecha. Existen dos factores importantes que el usuario debe tener en cuenta a la hora de interactuar con su dispositivo móvil.

PRIMERO: La ingeniería social apela a nuestras emociones: a la alegría, al miedo, a lo barato, a una oportunidad, y trata de impulsarnos hacia una acción: borra, elimina, reenvía, compra. Hazlo ya. Ahora, en este momento.

SEGUNDO: Para que la acción sea finalmente ejecutada a través de la motivación, los atacantes incluyen enlaces.

"Cuando se combinan estos dos factores: se motiva a que la víctima haga algo y el mensaje está acompañado de un enlace, esas dos cosas casi siempre pueden significar peligro", advirtió el especialista.

¿Cómo saber si soy víctima de un malware como BRata?

No existe una forma directa de saber que nuestro dispositivo está infectado, pues no hay un aviso o mensaje que nos alerte del incidente. Sin embargo, existen algunos indicios que podrían indicarnos la presencia de este malware.

Si usamos el dispositivo por un buen tiempo, sentirémos cómo se calienta. "Literalmente, la temperatura sube y no nos asusta porque estamos usando el teléfono: estamos viendo una película o estamos jugando. Pero si nuestro dispositivo no está en uso: está en nuestro bolsillo o sobre la mesa. Lo tomamos y está caliente, quiere decir que existe algún proceso ejecutándose en el celular y que puede ser malicioso"; explicó Dmitry Bestuzhev.

NOTA: Las primeras muestras de este malware fueron detectadas en Brasil entre enero y febrero de 2019 y aunque la amenaza ya fue reportada, los especialistas advierten que puede expandirse a otras regiones.

Foto: Verenice Cáceres de Tecnología 21 entrevistando a Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Video de la entrevista