Nova versão de malware para celulares é identificada

A ISH Tecnologia, por meio do time de inteligência de ameaças, Heimdall, apresenta alguns detalhes sobre a operação do Brata RAT, um Trojan de Acesso Remoto (RAT) projetado para atingir dispositivos Android.

O Brata RAT foi identificado em 2019, conhecido como “Brazilian RAT for Android” e possui a finalidade de realizar a espionagem em dispositivos infectados, sendo permitido ao cibercriminoso realizar o monitoramento da tela do dispositivo móvel da vítima em tempo real.

Como forma de divulgar o funcionamento, foi realizada a análise do construtor do Brata RAT, bem como identificada a comercialização da nova versão (v5) do construtor em canais do Telegram.

Comercialização e nova versão

É possível verificar que a nova versão obtida pela ISH Tecnologia está sendo comercializada por meio de canais como Telegram, sendo anunciado por exemplo como “BRATA Android RAT [2023]”.

Figura 1 – Anúncio da venda do Brata RAT.

A venda deste builder vem sendo observada em diversos canais no Telegram, os quais anunciam a venda da ferramenta de forma vitalícia por US$ 30 (trinta dólares), o equivalente a aproximadamente R$ 150 (cento e cinquenta reais).

Esta versão permite que o invasor realize o controle do dispositivo móvel infectado remotamente, sendo que há suporte até a versão 13 do Android e possui algumas funções:

  • Anti-kill;
  • Anti-delete;
  • Monitor em tempo real;
  • Registro de tela;
  • Obtenção do recurso de acessibilidade automaticamente;
  • Ignora a proteção do Google Play;
  • Atuação com Tela de Controle (VNC);
  • Roubo de código de MFA2 do Google Authenticator;
  • Ignora a tela do Aplicativo de Banco;
  • Executa automaticamente na inicialização do dispositivo;
  • Obtém informações do dispositivo;
  • Captura de Áudio (microfone);
  • Keylogger;
  • Acessa as câmeras do aparelho;
  • Possui a opção de ransomware para o dispositivo;
  • Apaga completamente o dispositivo;
  • E outras funções.

Figura 2 – Anúncio da venda do Brata RAT no Telegram.

A venda também é realizada por meio do canal oficial do Telegram do desenvolvedor da ferramenta, sendo verificado que no início do ano de 2023, a ferramenta foi comercializada por US$ 200 dólares.

Figura 3 – Conversa relacionada a venda realizada do RAT.

Em março de 2023, o desenvolvedor da ferramenta anunciou que o código fonte da ferramenta Brata RAT estaria a venda pelo valor de US$2.000, alegando ainda que havia interrompido a venda do RAT e que estaria desenvolvendo outros RATs como o exemplo do Hermit Spy, assegurando aos usuários que seria semelhante ao RAT Pegasus.

Figura 4 – Ator malicioso realizando a venda do código fonte do RAT.

É possível verificar que outro ator malicioso havia realizado a compra de uma versão do Brata RAT com o desenvolvedor e estaria revendendo o RAT por outro valor e, por este motivo, o desenvolvedor acabou por descrever tal agente malicioso como um possível falsário, bem como indicando que os compradores precisam ficar longe de tais perfis.

Segundo o desenvolvedor, este ator não seria brasileiro, mas sim russo e que estaria residindo em Dubai.

Figura 5 – Insatisfação com outros indivíduos realizando a venda.

No mês de abril, foi identificada a venda de uma nova versão do Brata RAT v5, adicionando recursos e acessos para iOS como:

  • SMS (enviados e recebidos);
  • Arquivos;
  • Visualização da tela;
  • Microfone;
  • Mudar papel de parede;
  • Acesso ao Safari;
  • Ligar a luz do flash;
  • iCloud Bypass;
  • Captura de Senha.

Além dos recursos informados para iOS, o desenvolvedor divulgou que também houve atualizações sobre a versão para Android, incorporando as funções e acessos:

  • Controle de tela;
  • Modo fantasma;
  • Congelar;
  • Formatar;
  • Arquivos;
  • Localização;
  • SMS;
  • Número de telefone;
  • Informações do telefone;
  • Câmera;
  • Abertura de link;
  • Editar soquete;
  • Exploração PNG;
  • Contatos;
  • Chamadas;
  • Tela de desbloqueio;
  • Gerente de Permissões;
  • Leitor de tela;
  • Auto Clicker;
  • Desenhar na tela;
  • Desativar aplicativos;
  • Microfone;
  • Formulários;
  • Keyloggers;
  • Contas;
  • Fazer download do arquivo;
  • Ignorar a segurança da tela preta;
  • Todas as permissões são permitidas automaticamente;
  • Apk é totalmente indetectável.

Figura 6 – Nova versão do Brata RAT anunciada, V5.

A versão do Brata RAT está sendo comercializada pelo preço de US$1.000 (mil dólares) e o pagamento é realizado por meio da moeda digital Bitcoin.

Realizada a consulta da carteira de Bitcoin do desenvolvedor (divulgada pelo mesmo) é possível observar diversas transações.

Figura 7 – Transações realizadas com a carteira de Btc.

 Até o momento da elaboração do referido alerta não foram identificadas transações para a compra da nova versão Brata RAT v5 por meio do endereço da carteira oferecida pelo ator malicioso.  

Análise da versão 4

A seguir, realizamos a análise da versão obtida do Brata RAT, sendo observado o painel de controle para a criação de novos artefatos, ou seja, a criação de novos arquivos para Android (.apk).

O builder apresenta uma tela na qual é possível verificar o status de dispositivos que foram infectados, bem como existe a opção de realizar a criação de novos arquivos maliciosos.

Figura 8 – Painel criado para administrar o RAT.

Ao selecionar para criar arquivo malicioso, é possível verificar que há o potencial de criar arquivos extremamente customizados, podendo ser adicionados o nome de cliente, nome do app, nome do pacote, versão do app, ícone e outras possibilidades.

Figura 9 – Painel para criação de novas cargas maliciosas.

Como exemplo, vamos criar um aplicativo visando verificar a efetividade do construtor, bem como posteriormente realizar a análise do APK visando comprovar quais as permissões solicitadas.

Figura 10 – Preenchimento de teste para criação de .apk malicioso.

Após a criação do arquivo, é possível constatar todas as características adotadas para a criação do artefato.

File name:Teste.apk
Size0.68 MB
MD5e2c033fc57f008c4f0600e090d36017f
SHA15d88d4988bc93c2270e231c2f909d5607e144965
SHA2560712e7c7fe3c0692a1bd8a1926dbc1de50650966adffb091a19a49e0e4f8b04c
AppNametesteteste
Package NameCom.brata.rat
Android Version Name1.4.5.1
Tabela 1 – IoCs da amostra criada para análise pela Heimdall.

Bem como é possível verificar as funções maliciosas utilizadas pelo referido malware. Seguem suas explicações:

android.permission.ACCESS_COARSE_LOCATIONPermissão para o aplicativo acessar a localização aproximada do dispositivo com base nas torres de celular ou nas redes Wi-Fi próximas.
android.permission.ACCESS_FINE_LOCATIONPermissão para o aplicativo acessar a localização precisa do dispositivo do usuário, utilizando de GPS, triangulação de torres de celular e Wi-Fi.
android.permission.CALL_PHONEPermissão para o aplicativo faça chamadas telefônicas diretamente do dispositivo do usuário, sem a necessidade de intervenção do usuário para discar o número.
android.permission.CAMERAPermissão para o aplicativo acessar a câmera do dispositivo do usuário para tirar fotos ou gravar vídeos.
android.permission.GET_ACCOUNTSPermissão para o aplicativo acessar as contas registradas no dispositivo do usuário, incluindo contas do Google e de outros provedores.
android.permission.READ_CALL_LOGPermite que o aplicativo acesse o registro de chamadas do dispositivo do usuário, incluindo informações sobre chamadas recebidas, realizadas e perdidas.
android.permission.READ_CONTACTSPermite que o aplicativo acesse os contatos registrados no dispositivo do usuário, incluindo informações de nome, número de telefone, endereços de e-mail e outras informações.
android.permission.READ_EXTERNAL_STORAGEPermite que o aplicativo leia arquivos armazenados no armazenamento externo do dispositivo do usuário, como o cartão SD.
android.permission.READ_PHONE_STATEPermite que o aplicativo acesse informações sobre o estado do telefone do dispositivo do usuário, incluindo IMEI, número de telefone, operadora de rede, tipo de conexão de rede e outras informações de status.
android.permission.READ_SMSPermite que o aplicativo acesse as mensagens SMS armazenadas no dispositivo do usuário.
android.permission.RECORD_AUDIOPermite que o aplicativo grave áudio usando o microfone do dispositivo do usuário.
android.permission.REQUEST_INSTALL_PACKAGESPermite que o aplicativo solicite ao usuário a instalação de outros aplicativos.
android.permission.SYSTEM_ALERT_WINDOWPermite que o aplicativo exiba janelas flutuantes sobre outras janelas ou aplicativos.
android.permission.WRITE_EXTERNAL_STORAGEPermite que o aplicativo grave dados em um armazenamento externo, como um cartão SD, do dispositivo do usuário.
Tabela 2 – Permissões solicitadas pelo aplicativo.

Realizada a análise em ambiente controlado do artefato, é possível verificar que há a solicitação de acesso a diversos tipos de serviços e permissões para o usuário, que deverão ser autorizadas pelo usuário para que o APK malicioso instalado realize a sua operação.

Figura 11 – Permissões solicitadas pelo RAT.

Após a instalação do RAT pelo usuário, o ator malicioso poderá realizar a extração de dados e armazená-los em formato de pastas, separando-os conforme o dispositivo infectado.

Figura 12 – Exemplo de pastas criadas devido a conexão remota.

Por exemplo, existe o log relacionado a aplicativos instalados no dispositivo, havendo a lista identificando o nome do aplicativo, qual tipo de usuário, App ID e data de instalação.

Figura 13 – Informações extraídas referente aos aplicativos do dispositivo.

É possível visualizar os logs relacionados a chamadas, com data, número de origem e a duração da chamada.

Figura 14 – Informações extraídas referente as chamadas realizadas no dispositivo.

Além de apresentar as seguintes informações do dispositivo:

Figura 15 – Informações coletadas sobre o dispositivo.

Somado ao já mencionado, o ator malicioso poderá realizar a extração de senhas armazenadas no dispositivo, como exemplo abaixo a identificação de senhas do Gmail.

Figura 16 – Vazamento de dados de password e login de aplicativos.

Portanto, é possível verificar que o referido Brata RAT, mesmo que na sua versão 4, já possui um grande potencial ofensivo, bem como com relação a versão 5 já anunciada pelo desenvolvedor e proprietário da ferramenta. É de suma importância que os usuários mantenham os princípios e recomendações de segurança com seus dispositivos mobile, visto que a cada dia os atores criminosos acabam por atualizar seus arsenais, apresentando novos métodos de evasões de defesas e melhorias de funções.

Recomendações

Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, por exemplo:

  • Mantenha o software do dispositivo atualizado: certifique-se de que o sistema operacional e todos os aplicativos instalados estejam sempre atualizados com as versões mais recentes. As atualizações geralmente contêm correções de segurança importantes que podem proteger seu dispositivo contra malware.
  • Use somente lojas de aplicativos oficiais: baixe aplicativos apenas de lojas de aplicativos oficiais, como o Google Play Store para dispositivos Android e a App Store para dispositivos iOS.
  • Cuidado com links e anexos suspeitos: não clique em links ou anexos suspeitos em e-mails, mensagens de texto ou mídias sociais, especialmente se eles vierem de remetentes desconhecidos.
  • Use um software antivírus confiável: instale um software antivírus confiável em seu dispositivo móvel. Esses programas podem proteger seu dispositivo contra malware, bem como ajudar a remover malwares existentes.
  • Desabilite fontes desconhecidas: em dispositivos Android, desative a opção “Fontes desconhecidas” nas configurações, que impede a instalação de aplicativos de fontes não confiáveis.
  • Use senhas fortes e diferentes: use senhas fortes e diferentes para todas as suas contas de aplicativos e configure o bloqueio de tela no seu dispositivo móvel.
  • Faça backup dos seus dados: faça backup regularmente de seus dados importantes, para que você possa recuperá-los caso ocorra uma infecção por malware ou um ataque cibernético.

Referências

  • Heimdall by ISH Tecnologia