A ISH Tecnologia, por meio do time de inteligência de ameaças, Heimdall, apresenta alguns detalhes sobre a operação do Brata RAT, um Trojan de Acesso Remoto (RAT) projetado para atingir dispositivos Android.
O Brata RAT foi identificado em 2019, conhecido como “Brazilian RAT for Android” e possui a finalidade de realizar a espionagem em dispositivos infectados, sendo permitido ao cibercriminoso realizar o monitoramento da tela do dispositivo móvel da vítima em tempo real.
Como forma de divulgar o funcionamento, foi realizada a análise do construtor do Brata RAT, bem como identificada a comercialização da nova versão (v5) do construtor em canais do Telegram.
Comercialização e nova versão
É possível verificar que a nova versão obtida pela ISH Tecnologia está sendo comercializada por meio de canais como Telegram, sendo anunciado por exemplo como “BRATA Android RAT [2023]”.
Figura 1 – Anúncio da venda do Brata RAT.
A venda deste builder vem sendo observada em diversos canais no Telegram, os quais anunciam a venda da ferramenta de forma vitalícia por US$ 30 (trinta dólares), o equivalente a aproximadamente R$ 150 (cento e cinquenta reais).
Esta versão permite que o invasor realize o controle do dispositivo móvel infectado remotamente, sendo que há suporte até a versão 13 do Android e possui algumas funções:
- Anti-kill;
- Anti-delete;
- Monitor em tempo real;
- Registro de tela;
- Obtenção do recurso de acessibilidade automaticamente;
- Ignora a proteção do Google Play;
- Atuação com Tela de Controle (VNC);
- Roubo de código de MFA2 do Google Authenticator;
- Ignora a tela do Aplicativo de Banco;
- Executa automaticamente na inicialização do dispositivo;
- Obtém informações do dispositivo;
- Captura de Áudio (microfone);
- Keylogger;
- Acessa as câmeras do aparelho;
- Possui a opção de ransomware para o dispositivo;
- Apaga completamente o dispositivo;
- E outras funções.
Figura 2 – Anúncio da venda do Brata RAT no Telegram.
A venda também é realizada por meio do canal oficial do Telegram do desenvolvedor da ferramenta, sendo verificado que no início do ano de 2023, a ferramenta foi comercializada por US$ 200 dólares.
Figura 3 – Conversa relacionada a venda realizada do RAT.
Em março de 2023, o desenvolvedor da ferramenta anunciou que o código fonte da ferramenta Brata RAT estaria a venda pelo valor de US$2.000, alegando ainda que havia interrompido a venda do RAT e que estaria desenvolvendo outros RATs como o exemplo do Hermit Spy, assegurando aos usuários que seria semelhante ao RAT Pegasus.
Figura 4 – Ator malicioso realizando a venda do código fonte do RAT.
É possível verificar que outro ator malicioso havia realizado a compra de uma versão do Brata RAT com o desenvolvedor e estaria revendendo o RAT por outro valor e, por este motivo, o desenvolvedor acabou por descrever tal agente malicioso como um possível falsário, bem como indicando que os compradores precisam ficar longe de tais perfis.
Segundo o desenvolvedor, este ator não seria brasileiro, mas sim russo e que estaria residindo em Dubai.
Figura 5 – Insatisfação com outros indivíduos realizando a venda.
No mês de abril, foi identificada a venda de uma nova versão do Brata RAT v5, adicionando recursos e acessos para iOS como:
- SMS (enviados e recebidos);
- Arquivos;
- Visualização da tela;
- Microfone;
- Mudar papel de parede;
- Acesso ao Safari;
- Ligar a luz do flash;
- iCloud Bypass;
- Captura de Senha.
Além dos recursos informados para iOS, o desenvolvedor divulgou que também houve atualizações sobre a versão para Android, incorporando as funções e acessos:
- Controle de tela;
- Modo fantasma;
- Congelar;
- Formatar;
- Arquivos;
- Localização;
- SMS;
- Número de telefone;
- Informações do telefone;
- Câmera;
- Abertura de link;
- Editar soquete;
- Exploração PNG;
- Contatos;
- Chamadas;
- Tela de desbloqueio;
- Gerente de Permissões;
- Leitor de tela;
- Auto Clicker;
- Desenhar na tela;
- Desativar aplicativos;
- Microfone;
- Formulários;
- Keyloggers;
- Contas;
- Fazer download do arquivo;
- Ignorar a segurança da tela preta;
- Todas as permissões são permitidas automaticamente;
- Apk é totalmente indetectável.
Figura 6 – Nova versão do Brata RAT anunciada, V5.
A versão do Brata RAT está sendo comercializada pelo preço de US$1.000 (mil dólares) e o pagamento é realizado por meio da moeda digital Bitcoin.
Realizada a consulta da carteira de Bitcoin do desenvolvedor (divulgada pelo mesmo) é possível observar diversas transações.
Figura 7 – Transações realizadas com a carteira de Btc.
Até o momento da elaboração do referido alerta não foram identificadas transações para a compra da nova versão Brata RAT v5 por meio do endereço da carteira oferecida pelo ator malicioso.
Análise da versão 4
A seguir, realizamos a análise da versão obtida do Brata RAT, sendo observado o painel de controle para a criação de novos artefatos, ou seja, a criação de novos arquivos para Android (.apk).
O builder apresenta uma tela na qual é possível verificar o status de dispositivos que foram infectados, bem como existe a opção de realizar a criação de novos arquivos maliciosos.
Figura 8 – Painel criado para administrar o RAT.
Ao selecionar para criar arquivo malicioso, é possível verificar que há o potencial de criar arquivos extremamente customizados, podendo ser adicionados o nome de cliente, nome do app, nome do pacote, versão do app, ícone e outras possibilidades.
Figura 9 – Painel para criação de novas cargas maliciosas.
Como exemplo, vamos criar um aplicativo visando verificar a efetividade do construtor, bem como posteriormente realizar a análise do APK visando comprovar quais as permissões solicitadas.
Figura 10 – Preenchimento de teste para criação de .apk malicioso.
Após a criação do arquivo, é possível constatar todas as características adotadas para a criação do artefato.
| File name: | Teste.apk |
| Size | 0.68 MB |
| MD5 | e2c033fc57f008c4f0600e090d36017f |
| SHA1 | 5d88d4988bc93c2270e231c2f909d5607e144965 |
| SHA256 | 0712e7c7fe3c0692a1bd8a1926dbc1de50650966adffb091a19a49e0e4f8b04c |
| AppName | testeteste |
| Package Name | Com.brata.rat |
| Android Version Name | 1.4.5.1 |
Bem como é possível verificar as funções maliciosas utilizadas pelo referido malware. Seguem suas explicações:
| android.permission.ACCESS_COARSE_LOCATION | Permissão para o aplicativo acessar a localização aproximada do dispositivo com base nas torres de celular ou nas redes Wi-Fi próximas. |
| android.permission.ACCESS_FINE_LOCATION | Permissão para o aplicativo acessar a localização precisa do dispositivo do usuário, utilizando de GPS, triangulação de torres de celular e Wi-Fi. |
| android.permission.CALL_PHONE | Permissão para o aplicativo faça chamadas telefônicas diretamente do dispositivo do usuário, sem a necessidade de intervenção do usuário para discar o número. |
| android.permission.CAMERA | Permissão para o aplicativo acessar a câmera do dispositivo do usuário para tirar fotos ou gravar vídeos. |
| android.permission.GET_ACCOUNTS | Permissão para o aplicativo acessar as contas registradas no dispositivo do usuário, incluindo contas do Google e de outros provedores. |
| android.permission.READ_CALL_LOG | Permite que o aplicativo acesse o registro de chamadas do dispositivo do usuário, incluindo informações sobre chamadas recebidas, realizadas e perdidas. |
| android.permission.READ_CONTACTS | Permite que o aplicativo acesse os contatos registrados no dispositivo do usuário, incluindo informações de nome, número de telefone, endereços de e-mail e outras informações. |
| android.permission.READ_EXTERNAL_STORAGE | Permite que o aplicativo leia arquivos armazenados no armazenamento externo do dispositivo do usuário, como o cartão SD. |
| android.permission.READ_PHONE_STATE | Permite que o aplicativo acesse informações sobre o estado do telefone do dispositivo do usuário, incluindo IMEI, número de telefone, operadora de rede, tipo de conexão de rede e outras informações de status. |
| android.permission.READ_SMS | Permite que o aplicativo acesse as mensagens SMS armazenadas no dispositivo do usuário. |
| android.permission.RECORD_AUDIO | Permite que o aplicativo grave áudio usando o microfone do dispositivo do usuário. |
| android.permission.REQUEST_INSTALL_PACKAGES | Permite que o aplicativo solicite ao usuário a instalação de outros aplicativos. |
| android.permission.SYSTEM_ALERT_WINDOW | Permite que o aplicativo exiba janelas flutuantes sobre outras janelas ou aplicativos. |
| android.permission.WRITE_EXTERNAL_STORAGE | Permite que o aplicativo grave dados em um armazenamento externo, como um cartão SD, do dispositivo do usuário. |
Realizada a análise em ambiente controlado do artefato, é possível verificar que há a solicitação de acesso a diversos tipos de serviços e permissões para o usuário, que deverão ser autorizadas pelo usuário para que o APK malicioso instalado realize a sua operação.
Figura 11 – Permissões solicitadas pelo RAT.
Após a instalação do RAT pelo usuário, o ator malicioso poderá realizar a extração de dados e armazená-los em formato de pastas, separando-os conforme o dispositivo infectado.
Figura 12 – Exemplo de pastas criadas devido a conexão remota.
Por exemplo, existe o log relacionado a aplicativos instalados no dispositivo, havendo a lista identificando o nome do aplicativo, qual tipo de usuário, App ID e data de instalação.
Figura 13 – Informações extraídas referente aos aplicativos do dispositivo.
É possível visualizar os logs relacionados a chamadas, com data, número de origem e a duração da chamada.
Figura 14 – Informações extraídas referente as chamadas realizadas no dispositivo.
Além de apresentar as seguintes informações do dispositivo:
Figura 15 – Informações coletadas sobre o dispositivo.
Somado ao já mencionado, o ator malicioso poderá realizar a extração de senhas armazenadas no dispositivo, como exemplo abaixo a identificação de senhas do Gmail.
Figura 16 – Vazamento de dados de password e login de aplicativos.
Portanto, é possível verificar que o referido Brata RAT, mesmo que na sua versão 4, já possui um grande potencial ofensivo, bem como com relação a versão 5 já anunciada pelo desenvolvedor e proprietário da ferramenta. É de suma importância que os usuários mantenham os princípios e recomendações de segurança com seus dispositivos mobile, visto que a cada dia os atores criminosos acabam por atualizar seus arsenais, apresentando novos métodos de evasões de defesas e melhorias de funções.
Recomendações
Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, por exemplo:
- Mantenha o software do dispositivo atualizado: certifique-se de que o sistema operacional e todos os aplicativos instalados estejam sempre atualizados com as versões mais recentes. As atualizações geralmente contêm correções de segurança importantes que podem proteger seu dispositivo contra malware.
- Use somente lojas de aplicativos oficiais: baixe aplicativos apenas de lojas de aplicativos oficiais, como o Google Play Store para dispositivos Android e a App Store para dispositivos iOS.
- Cuidado com links e anexos suspeitos: não clique em links ou anexos suspeitos em e-mails, mensagens de texto ou mídias sociais, especialmente se eles vierem de remetentes desconhecidos.
- Use um software antivírus confiável: instale um software antivírus confiável em seu dispositivo móvel. Esses programas podem proteger seu dispositivo contra malware, bem como ajudar a remover malwares existentes.
- Desabilite fontes desconhecidas: em dispositivos Android, desative a opção “Fontes desconhecidas” nas configurações, que impede a instalação de aplicativos de fontes não confiáveis.
- Use senhas fortes e diferentes: use senhas fortes e diferentes para todas as suas contas de aplicativos e configure o bloqueio de tela no seu dispositivo móvel.
- Faça backup dos seus dados: faça backup regularmente de seus dados importantes, para que você possa recuperá-los caso ocorra uma infecção por malware ou um ataque cibernético.
Referências
- Heimdall by ISH Tecnologia