O BRata parecia uma atualização do WhatsApp mas, na verdade, era um malware (trojan) hospedado na Google Play Store. Recebeu esse nome dos pesquisadores da Kaspersky por ser um Android RAT (Remote Administration Tool) e brasileiro (BR).
Parte de uma nova tendência observada pela companhia russa, o “espião para as massas” era capaz de, em um dispositivo Android infectado, permitir o monitoramento em tempo real da tela. Isto é, a ferramenta espelhava o display do smartphone para transmitir todas as atividades da vítima para o atacante: um intruso silencioso.
Dmitry Bestuzhev, diretor da equipe de pesquisa da Kaspersky na América Latina, e Santiago Pontiroli, analista de segurança do mesmo time, deram mais detalhes do que foi um trojan para Android cujo principal meio de transmissão foi a loja oficial de aplicativos do Google. Detectado pela primeira vez em janeiro de 2019, o BRata também foi encontrado em lojas de aplicativos alternativas para Android, como arquivo .apk
Havia um alvo específico nesta campanha: brasileiros, usuários de Android a partir do Lollipop (5.0). Foram usados vetores de infecção bastante específicos para levar as vítimas para a página legítima da loja do Google: notificações push em sites comprometidos, mensagens de phishing no WhatsApp ou por SMS, links patrocinados nas buscas do Google (anúncios para termos de pesquisa) e engenharia social.
Em um segundo momento de detecção, o malware foi encontrado novamente “disfarçado” como a correção para uma falha real usada em ataques contra o WhatsApp (CVE-2019-3568) em junho. Ao todo, mais de 20 variantes do ataque foram detectadas e essa falsa correção, especificamente, recebeu mais de dez mil downloads na Google Play Store, somando 550 vítimas por dia no seu total de acessos até ser descoberta.
O BRata em ação
Além de revelar o que se passa na tela do celular infectado, o malware pode roubar e-mails, mensagens trocadas em aplicativos, histórico de localização e navegação do usuário, senhas e logins de bancos (via keylogger) e, além disso, ativar a câmera e o microfone do aparelho. Algo similar a aplicativos de vigilância de crianças, porém, sem o conhecimento e a autorização do dono do celular, em uma invasão premeditada.
Ainda não acabou, o malware também é capaz de escurecer a tela remotamente para ocultar o que o criminoso está fazendo no celular. Tudo isso usando o recurso dos Serviços de Acessibilidade do Android para interagir com outros aplicativos instalados no dispositivo. Há dois anos, em 2017, o Google prometeu cobrar dos desenvolvedores uma justificativa para o uso do recurso. Caso contrário, bloquearia sua aprovação.
O mau uso da API de acessibilidade abusa do acesso de recursos verdadeiramente úteis como o autocompletar, a reutilização de informações de login entre aplicativos (gerenciando senhas) e copiar e colar dados livremente na Área de Transferências.
“A única coisa estranha que aparecia de diferente no processo de instalação é que o BRata pedia permissões para usar os serviços de acessibilidade. Somente isso, nenhum outro mais. O nome do desenvolvedor do app também era outro”, explica Pontiroli.
Ao ser enganado, quem baixava o falso update do WhatsApp via a mensagem: “Atualização aplicada com sucesso”. Desenvolvido por brasileiros com foco em usuários brasileiros de bancos online, o BRata é um ótimo exemplo de como a espionagem se tornou um tipo de ataque que não visa mais vítimas bem específicas, mas a todos.
Um painel de administração baseado nos dados que o malware era capaz de capturar foi criado, usando engenharia reversa, e demonstrado pela equipe da Kaspersky.
“Desde 2014 estamos vendo espionagem corporativa, mas o que vemos agora é uma evolução de implantes voltados para os usuários comuns”, analisa Pontiroli.
O Google, o gato e o rato
Após descoberto e reportado ao Google, este é o tipo de problema que em poucas horas se resolve. No centro da discussão está Google Bouncer, um sistema automatizado que busca anormalidade de segurança e malware na loja do Android.
“Para vencer a detecção do Google, os criminosos usam alguns tipos de proteção de código. Como o sistema [do Google] busca comportamentos padronizados, neste caso, não detectou nada”, opina o analista. Uma vez que o malware foi detectado por um produto da empresa, a informação foi compartilhada na nuvem e analisada.
Procurado pelo Tecnoblog, o Google afirmou que atualmente a Google Play Store conta com 2 bilhões de aplicativos para o Android. A empresa diz que não comenta casos específicos e que para um desenvolvedor solicitar a inclusão de um aplicativo na loja, precisa seguir as políticas do Google. Caso contrário, pode ser punido por isso.
“Após o envio para aprovação, todo novo aplicativo passa por uma avaliação que tem o prazo mínimo de 3 dias. Contudo, esse tempo pode variar em função de diversos fatores (…). Durante esse período, o programa passa por uma análise para conferir se atende a cada requisito específico de nossa Política de Software Indesejado e, qualquer programa que viole a e seja potencialmente prejudicial ao usuário, está sujeito às medidas cabíveis para garantir a segurança”, informou o Google.
Aliado ao filtro pré-aprovação, a Google também criou um programa que verifica dispositivos Android ativamente e automaticamente: o Google Play Protect. “A partir dessa tecnologia, analisamos cerca de 50 bilhões de aplicativos por dia, em busca de ameaças. Caso seja identificado qualquer comportamento suspeito, o software é excluído da loja e usuário é notificado”, disse a gigante de buscas, em comunicado.
Intercâmbio do crime
É fato que o principal alvo do BRata até o momento foi o Brasil, mas uma ferramenta de stalking como essa tem potencial para atacar usuários de Android em qualquer parte do mundo. Bestuzhev revela que kits para atacantes são vendidos facilmente na internet e que outros criminosos podem usar as mesmas ferramentas no futuro em outro país.
“Hoje, praticamente qualquer pessoa tem acesso a eles, pois o malware é comercializado no mercado clandestino por R$ 3 mil”, encerra. O especialista conta, ainda, que os kits também são negociados em troca de serviços ou outros malware.
*Os dados são do “Panorama de Ciberameaças na América Latina” de 2019, da Kaspersky.
