Ένα νέο τραπεζικό κακόβουλο λογισμικό Android με το όνομα Revive ανακαλύφθηκε το οποίο υποδύεται μια εφαρμογή 2FA που απαιτείται για τη σύνδεση σε τραπεζικούς λογαριασμούς BBVA στην Ισπανία.
Το νέο τραπεζικό trojan ακολουθεί μια πιο εστιασμένη προσέγγιση που στοχεύει την τράπεζα BBVA αντί να προσπαθεί να θέσει σε κίνδυνο τους πελάτες πολλών χρηματοπιστωτικών ιδρυμάτων.
Ενώ το Revive βρίσκεται σε πρώιμο στάδιο ανάπτυξης, είναι ήδη ικανό για προηγμένες λειτουργίες όπως η παρακολούθηση κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA) και κωδικών πρόσβασης μίας χρήσης.
Υποδύεται ένα βοηθητικό πρόγραμμα
Οι ερευνητές στο Cleafy ανακάλυψαν το Revive και το ονόμασαν από μια συνάρτηση με το ίδιο όνομα που χρησιμοποιήθηκε από το κακόβουλο λογισμικό για επανεκκίνηση εάν τερματιστεί.
Σύμφωνα με τους αναλυτές του Cleafy, το νέο κακόβουλο λογισμικό στοχεύει πιθανά θύματα μέσω επιθέσεων phishing, πείθοντάς τα να κατεβάσουν μια εφαρμογή που υποτίθεται ότι είναι ένα εργαλείο 2FA που απαιτείται για την αναβαθμισμένη ασφάλεια τραπεζικών λογαριασμών.
Αυτή η επίθεση phishing ισχυρίζεται ότι η λειτουργία 2FA που είναι ενσωματωμένη στην εφαρμογή της πραγματικής τράπεζας δεν πληροί πλέον τις απαιτήσεις επιπέδου ασφαλείας, επομένως οι χρήστες πρέπει να εγκαταστήσουν αυτό το πρόσθετο εργαλείο για να αναβαθμίσουν την τραπεζική τους ασφάλεια.
Μήνυμα ηλεκτρονικού ψαρέματος που στάλθηκε σε πελάτες τράπεζας (Cleafy)
Η εφαρμογή φιλοξενείται σε έναν αποκλειστικό ιστότοπο που έχει επαγγελματική εμφάνιση και έχει ακόμη και ένα εκπαιδευτικό βίντεο για να καθοδηγήσει τα θύματα στη διαδικασία λήψης και εγκατάστασης της.
Κατά την εγκατάσταση, το Revive ζητά άδεια χρήσης της Υπηρεσίας Προσβασιμότητας, η οποία ουσιαστικά του δίνει τον πλήρη έλεγχο της οθόνης και τη δυνατότητα να εκτελεί πατήματα οθόνης και ενέργειες πλοήγησης.
Ζητούνται δικαιώματα κατά την εγκατάσταση (Cleafy)
Όταν ο χρήστης εκκινεί την εφαρμογή για πρώτη φορά, του ζητείται να του παραχωρήσει πρόσβαση σε SMS και τηλεφωνικές κλήσεις, κάτι που μπορεί να φαίνεται φυσιολογικό για ένα βοηθητικό πρόγραμμα 2FA.
Μετά από αυτό, το Revive συνεχίζει να εκτελείται στο παρασκήνιο ως απλό keylogger, καταγράφοντας όλα όσα πληκτρολογεί ο χρήστης στη συσκευή και στέλνοντάς τα περιοδικά στο C2.
Με αυτόν τον τρόπο θα σταλούν τα διαπιστευτήρια στο C2 των παραγόντων απειλής και στη συνέχεια θα φορτωθεί μια γενική αρχική σελίδα με συνδέσμους στον πραγματικό ιστότοπο της στοχευμένης τράπεζας.