Se ha descubierto un nuevo malware bancario para Android llamado Revive que se hace pasar por una aplicación 2FA necesaria para iniciar sesión en las cuentas bancarias de BBVA en España.
El malware de Android 'Revive' se hace pasar por la aplicación 2FA (BBVA2FA.apk o similar) del banco BBVA
- El nuevo troyano bancario sigue un enfoque más centrado dirigido al banco BBVA en lugar de intentar comprometer a los clientes de múltiples instituciones financieras.
Si bien Revive se encuentra en una fase temprana de desarrollo, ya es capaz de funciones avanzadas como interceptar códigos de autenticación de dos factores (2FA) y contraseñas de un solo uso.
Los investigadores de Cleafy descubrieron Revive y le dieron el nombre de una función del mismo nombre utilizada por el malware para reiniciarse si termina.
Según los analistas de Cleafy, el nuevo malware se dirige a posibles víctimas a través de ataques de phishing, convenciéndolos de descargar una aplicación que supuestamente es una herramienta 2FA necesaria para mejorar la seguridad de la cuenta bancaria.
Este ataque de phishing afirma que la funcionalidad 2FA integrada en la aplicación bancaria real ya no cumple con los requisitos de nivel de seguridad, por lo que los usuarios deben instalar esta herramienta adicional para actualizar su seguridad bancaria.
Mensaje de phishing enviado a los clientes del banco BBVA
La aplicación está alojada en un sitio web dedicado que luce una apariencia profesional e incluso tiene un video tutorial para guiar a las víctimas a través del proceso de descarga e instalación.
Tras la instalación, Revive solicita permiso para usar el Servicio de Accesibilidad, que básicamente le otorga un control completo de la pantalla y la capacidad de realizar toques de pantalla y acciones de navegación.
Cuando el usuario inicia la aplicación por primera vez, se le solicita que le conceda acceso a SMS y llamadas telefónicas, lo que podría parecer normal para una utilidad 2FA.
Después de eso, Revive continúa ejecutándose en segundo plano como un simple registrador de teclas, registrando todo lo que el usuario escribe en el dispositivo y enviándolo periódicamente al C2.
Al hacerlo, se enviarán las credenciales al C2 de los actores de la amenaza y luego se cargará una página de inicio genérica con enlaces al sitio web real del banco objetivo.
Después de eso, Revive continúa ejecutándose en segundo plano como un simple registrador de teclas, registrando todo lo que el usuario escribe en el dispositivo y enviándolo periódicamente al C2.
Basado en Tearroid
Según el análisis de código de Cleafy del nuevo malware, parece que sus autores se inspiraron en Teradroid, el spyware de Android cuyo código está disponible públicamente en GitHub.
Comparación de código entre los dos malware:
Los dos comparten amplias similitudes en la API, el marco web y las funciones. Revive utiliza un panel de control personalizado para recopilar credenciales e interceptar mensajes SMS.
El resultado es una aplicación que apenas es detectada por ningún proveedor de seguridad. Por ejemplo, las pruebas de Cleafy en VirusTotal arrojan cuatro detecciones en una muestra y ninguna en una variante posterior.
Probablemente, la focalización limitada, las campañas a corto plazo y las operaciones localizadas no brindan a los proveedores de seguridad muchas oportunidades para registrar estas amenazas y establecer parámetros de identificación para que puedan pasar desapercibidas durante más tiempo.
https://www.cleafy.com/cleafy-labs/revive-from-spyware-to-android-banking-trojan
No hay comentarios:
Publicar un comentario