Achtung: Das böswillige Android-Remotezugriffstool 'BRATA' bedroht Online-Banking-Konten

Eine neue leistungsstarke Android-Malware-Familie macht in diesen Tagen die Runde unter Smartphone-Nutzern in Brasilien. Forscher bezeichnen es als BRATA , was der brasilianischen RAT Android fehlt . Es scheint, als würde sich die Malware ohne Grenzen ausbreiten, da seit der ersten Entdeckung von BRATA im Januar 2019 mindestens 20 neue Varianten gemeldet wurden. Die große Reichweite dieser RAT-Familie beruht hauptsächlich auf der Tatsache, dass die Mehrzahl der schädlichen Binärdateien vorhanden war Wird im offiziellen Google Play Store als Update für den Instant Messaging-Dienst WhatsApp erkannt.

BRATA ist besonders an Online-Banking-Informationen interessiert, die es sorgfältig sammelt und in Echtzeit an seine Betreiber sendet. Diese Funktionalität von BRATA hat die Forscher von Kaspersky Latin America am meisten beeindruckt, obwohl dieses Tool für den Fernzugriff nicht nur Anmeldeinformationen für Bankkonten und Token für die Zwei-Faktor-Authentifizierung stehlen kann, sondern auch Nachrichten und Anrufe von Benutzern ausspioniert, Dateien abruft und viele weitere Aktivitäten, die die Privatsphäre der Benutzer gefährden.

Derzeit bleibt BRATA eine finanzielle Bedrohung für Benutzer, die ihre Online-Bankkonten von ihrem Mobiltelefon aus abrufen, und betrifft nur Android-Benutzer in Brasilien. Es gibt jedoch keinen Grund, warum es nicht möglich sein könnte, zu irgendeinem Zeitpunkt in alle anderen Regionen der Welt zu springen. Darüber hinaus könnte sich diese Malware leicht zu einer erpresserischen Bedrohung entwickeln, die Benutzerdateien sperrt und die Zahlung eines Lösegelds gegen einen Entschlüsselungsschlüssel verlangt. Bisher behaupten Kaspersky-Forscher, dass BRATA nur die Kunden von Banken, nicht aber die Banken selbst anspricht.

BRATA funktioniert auf mindestens Android Lollipop 5.0-Version ordnungsgemäß und verfügt über mehrere Infektionsvektoren. Abgesehen von den gefälschten WhatsApp-Updates können Benutzer auch durch Spam-Nachrichten, gesponserte Links in Google-Suchen und Push-Benachrichtigungen auf beschädigten Websites infiziert werden. BRATA missbraucht die bekannte WhatsApp-Sicherheitsanfälligkeit CVE-2019-3568, um das Zielgerät zu infizieren. Anschließend aktiviert die RAT eine Schlüsselprotokollierungsfunktion und einen Echtzeit-Streaming-Dienst, um ihre böswilligen Aufgaben auszuführen. Die Malware übernimmt die vollständige Kontrolle über das betroffene Gerät, indem sie mit anderen auf dem Telefon des Opfers installierten Anwendungen über die Android-Funktion "Accessibility Service" interagiert.

Derzeit wurden die gefälschten WhatsApp- Kopien aus dem brasilianischen Google Play Store entfernt, während der Entwickler von zukünftigen Uploads ausgeschlossen wurde. BRATA breitet sich jedoch nach wie vor in Drittanbietermärkten für mobile Anwendungen aus und könnte bald in anderen regionalen Google Play-Stores auftauchen, warnen Forscher.