Onderzoekers hebben Androidmalware ontdekt die ontwikkeld is om geld van bankrekeningen te stelen en hierna een fabrieksreset van het toestel kan uitvoeren, zodat het slachtoffer de diefstal niet ontdekt. Dat laat securitybedrijf Cleafy weten. De Brata-malware werd voor het eerst in 2019 ontdekt. Sindsdien zijn er verschillende varianten verschenen. Afgelopen december ontdekten onderzoekers een nieuwe versie die over twee nieuwe features beschikt, namelijk gps-tracking en het uitvoeren van een fabrieksreset.
Uit onderzoek blijkt dat de malware nog geen gebruikmaakt van gps-tracking. De feature lijkt volgens de onderzoekers in ontwikkeling te zijn, hoewel de malware wel om de gps-permissie vraagt. In het geval van de fabrieksreset gaat het wel om een werkende feature. Deze "killswitch" wordt ingezet wanneer de malafide applicatie waarin de malware verborgen zit wordt uitgevoerd in een virtuele omgeving. Dit moet analyse door onderzoekers voorkomen.
Daarnaast wordt de telefoon gereset nadat criminelen via de Brata-malware geld van de bankrekening hebben gestolen. Dit moet ervoor zorgen dat het langer duurt voordat het slachtoffer achter die diefstal komt en bijvoorbeeld contact met zijn bank opneemt. Onder andere Italiaanse Androidgebruikers waren het doelwit van de malware. Zo gaf de Italiaanse overheid meerdere waarschuwingen voor de malware.
Voor de verspreiding van de Brata-malware maken criminelen gebruik van sms-berichten die bijvoorbeeld van de bank van het slachtoffer afkomstig lijken. De sms-berichten wijzen naar een malafide website waarop een zogenaamde anti-spam-app of virusscanner wordt aangeboden. Gebruikers moeten wel het installeren van apps van onbekende bronnen inschakelen en de malafide app verschillende permissies verlenen.
Eenmaal geïnstalleerd kan de malafide app sms-berichten en codes onderscheppen, schermopnames maken, toetsaanslagen opslaan, Google Play Protect uitschakelen om niet door Google als verdachte app te worden aangemerkt, phishingpagina's tonen en zichzelf verwijderen om detectie te voorkomen. Gebruikers wordt dan ook aangeraden om geen apps buiten officiële appstores om te downloaden en goed te letten op de permissies die een app vraagt.
Deze posting is gelocked. Reageren is niet meer mogelijk.