Os usuários de Android têm que lidar com malware bancário. O novo malware chamado Revive mascarados como um aplicativo 2FA necessário para entrar nas contas bancárias do BBVA na Espanha.
O novo Trojan bancário segue uma técnica mais voltada para os serviços bancários do BBVA, em vez de buscar comprometer os consumidores em instituições monetárias. Embora o Revive esteja em um estágio inicial de desenvolvimento, ele já é capaz de funções complexas, como interceptar códigos e senhas de autenticação de dois fatores (2FA).
Os pesquisadores da Cleafy descobriram o Revive e o chamaram após um serviço da mesma chamada usada pelo malware para reiniciar no caso de um desligamento. De acordo com os analistas da Cleafy, o novo malware tem como alvo vítimas potenciais através de ataques de phishing, convencendo-as a baixar um aplicativo. que seria uma ferramenta 2FA necessária para manter as contas bancárias atualizadas.
Este ataque de phishing afirma que o recurso 2FA incorporado no aplicativo bancário Android genuíno não atende mais aos requisitos do ponto de segurança, então os usuários querem instalar essa ferramenta adicional para atualizar sua segurança bancária.
O aplicativo está hospedado em uma página online comprometida que parece profissional e ainda fornece um vídeo instrutivo para consultores de pacientes através do processo de download e instalação. Após a instalação, o Revive solicita permissão para usar o serviço de acessibilidade, o que necessariamente lhe dá controle em tela cheia e a capacidade de executar ações de navegação e toque na tela.
Quando o usuário lança o aplicativo pela primeira vez, ele é solicitado a permitir SMS e chamadas telefônicas, o que possivelmente pareceria geral para um utilitário 2FA. Depois disso, o Revive continua a correr em segundo plano como um keylogger inegável, gravando tudo o que acontece. o usuário grava para o dispositivo e periodicamente o envia para C2.
Portanto, o malware enviará as credenciais para o C2 dos atores de risco e, em seguida, uma página inicial genérica será carregada com links para o verdadeiro banco alvo. Depois disso, o Revive continua a ser executado em segundo plano como um keylogger inegável, registrando todos os tipos de usuários no dispositivo e enviando-o periodicamente para c2.
Com base na pesquisa de código de Cleafy sobre o novo malware, parece que seus autores foram encorajados através do Teradroid, um software espião Android cujo código está disponível publicamente no GitHub. Ambos têm muitas semelhanças em API, estrutura da Internet e funções. O Revive usa um painel tradicional para coletar credenciais e interceptar mensagens SMS.
O resultado é um aplicativo ligeiramente detectado através dos editores de segurança. Por exemplo, os testes de Cleafy do VirusTotal remontam a 4 detecções em um padrão e nenhuma em uma variante posterior.
Bleeping Computer observa que segmentação limitada, campanhas de curto prazo e operações localizadas provavelmente não forneceria aos fornecedores de segurança muitas oportunidades para registrar essas ameaças e estabelecer parâmetros de identidade.
Receba as notícias
SemperUpdate é um Linux composto por membros do Linux ou comunidades de código aberto. Além do Linux, também estamos falando de conteúdo Geek e outros tópicos relacionados à tecnologia.
© 2022 AlwaysUpdate – Todos os direitos reservados
Removido da lista de reprodução