En Mayo, WhatsApp reconoció una vulnerabilidad dentro de su aplicación que permitía que ciberdelincuentes espiar los mensajes de sus usuarios. Tras el incidente, la plataforma recomendó que se actualizara su aplicación.
Evidentemente, los usuarios que buscaban asegurar su app de mensajería intentaron actualizarla de inmediato a través de diferentes medios, pero lamentablemente muchos cayeron en una «trampa» e instalaron un troyano en vez de la actualización correcta.
“Los usuarios buscaron una actualización y muchos de ellos creyeron que instalar una aplicación que fuera literalmente la Actualización de WhatsApp sería el camino más sencillo para estar seguros. Sin embargo este mismo desconocimiento provocó que descargaran un troyano que espiaba sus equipos”, explicó Dmitry Bestushev, director del Equipo Global de Investigación y Análisis de Kaspersky Lab en América Latina, durante la Cumbre Latinoamericana de Ciberseguridad en Iguazú, Argentina.
La aplicación apócrifa, llamada BRata, se encontraba dentro de la PlayStore de Google de Brasil y logró colarse en poco más de 10,000 cuentas del servicio de mensajería.
“Se trató de un trabajo de ingeniería social pues los ciberdelincuentes sabían que las personas buscarían estar seguras y de esta forma lograron vulnerarlos. La operación, además, se hacía de forma remota y afectó a usuarios brasileños, quienes tuvieron vulneraciones variadas, desde la exposición de sus datos personales, hasta los datos bancarios de sus aplicaciones financieras”, señaló Santiago Pontirolli, investigador de Kaspersky Lab de Latinoamérica.
Cuando se instalaba, este troyano enviaba en tiempo real a los ciberatacantes un «espejo» de la pantalla del dispositivo y los datos que ahí aparecían. El malware brinda también la capacidad de activar cámaras y micrófonos para convertirse en un completo sistema de espionaje.
Aunque ya fue retirado de la tienda de aplicaciones, las consecuencias de BRata aún no tienen un número preciso de afectados, ya que se viralizó tanto en la tienda de aplicaciones como vía mensaje a mensaje a través del mismo mensajero. Los expertos de Kaspersky subrayaron que este tipo de vulnerabilidades van en ascenso en la región.
“El caso brasileño tuvo un trasfondo de ser por volumen, de llegar a usuarios finales y robar sus identificaciones bancarias, sin embargo, este tipo de vulnerabilidades en el caso de México han tenido un motivo más social y político”. Recordemos que el software de espionaje Pegasus, que supuestamente fue utilizado por el gobierno mexicano o un grupo al interior de la administración federal para espiar a activistas, periodistas y defensores de derechos humanos, fue creado por la firma NSO Group para espiar exclusivamente a bandas criminales o terroristas, compañía que además estuvo detrás de la vulnerabilidad que admitió WhatsApp en mayo de este año.
¿Qué es BRata?
Según Kaspersky, BRata es una nueva familia de herramientas de malware que brindan acceso remoto en dispositivos Android. Se le bautizó así por su descripción: «Brazilian RAT Android«, ya que estaba dirigido exclusivamente a víctimas en dicho país: sin embargo, teóricamente también podría usarse para atacar a cualquier otro usuario de Android si los ciberdelincuentes detrás de él lo desean. Se ha generalizado desde enero de 2019, principalmente alojado en la tienda Google Play, pero también se encuentra en tiendas alternativas no oficiales de aplicaciones de Android. Para que el malware funcione correctamente, se requiere al menos la versión Android Lollipop 5.0.
Los cibercriminales detrás de BRata usan pocos vectores de infección. Por ejemplo, usaron notificaciones push en sitios web comprometidos; y también lo difundieron utilizando mensajes enviados a través de WhatsApp o SMS, y enlaces patrocinados en las búsquedas de Google.
Kaspersky recomienda revisar cuidadosamente los permisos que cualquier aplicación solicita en el dispositivo. También subraya que es esencial instalar una excelente solución antimalware actualizada con protección en tiempo real habilitada.
