Ένα νέο Android banking malware, που ονομάστηκε Revive, παρουσιάζεται σαν εφαρμογή 2FA για τη σύνδεση σε τραπεζικούς λογαριασμούς BBVA στην Ισπανία. Αυτό νέο trojan φαίνεται να είναι πιο εστιασμένο, στοχεύοντας την τράπεζα BBVA. Αντίθετα, άλλα αντίστοιχα malware προσπαθούν να στοχεύσουν πελάτες πολλών χρηματοπιστωτικών ιδρυμάτων.
Σύμφωνα με τους ερευνητές της Cleafy, που ανακάλυψαν το Revive, το malware βρίσκεται σε πρώιμο στάδιο ανάπτυξης. Ωστόσο, είναι ήδη ικανό να κάνει πολλά πράγματα, όπως παρακολούθηση κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA) και κωδικών πρόσβασης “μίας χρήσης”.
Δείτε επίσης: Emails προειδοποιούν για παραβίαση πνευματικών δικαιωμάτων και εγκαθιστούν το LockBit ransomware
Το Revive μιμείται μια εφαρμογή 2FA
Σύμφωνα με τους αναλυτές της Cleafy, το νέο κακόβουλο λογισμικό στοχεύει πιθανά θύματα μέσω επιθέσεων phishing, πείθοντάς τα να κατεβάσουν μια εφαρμογή που υποτίθεται ότι είναι ένα εργαλείο 2FA, το οποίο προσφέρει περισσότερη ασφάλεια στους τραπεζικούς λογαριασμούς τους.
Τα phishing μηνύματα που λαμβάνουν τα θύματα, ισχυρίζονται ότι η λειτουργία 2FA που είναι ενσωματωμένη στην εφαρμογή της πραγματικής τράπεζας δεν πληροί πλέον τις απαιτήσεις επιπέδου ασφαλείας, επομένως οι χρήστες πρέπει να εγκαταστήσουν αυτό το πρόσθετο εργαλείο για να προστατεύσουν τους λογαριασμούς τους.
Η εφαρμογή φιλοξενείται σε ένα site που μοιάζει επίσημο και αυθεντικό, ενώ έχει ακόμη και ένα εκπαιδευτικό βίντεο για να καθοδηγήσει τα θύματα στη διαδικασία λήψης και εγκατάστασης της εφαρμογής 2FA.
Δείτε επίσης: Μέθοδος phishing παρακάμπτει το MFA μέσω εφαρμογών Microsoft WebView2
Κατά την εγκατάσταση, το Revive ζητά άδεια χρήσης της Υπηρεσίας Προσβασιμότητας, η οποία ουσιαστικά του δίνει τον πλήρη έλεγχο της οθόνης.
Όταν ο χρήστης ανοίγει την εφαρμογή για πρώτη φορά, του ζητείται να της παραχωρήσει πρόσβαση σε SMS και τηλεφωνικές κλήσεις, κάτι που δεν φαίνεται πολύ περίεργο, δεδομένου ότι μιλάμε για ένα πρόγραμμα 2FA (έτσι μπορεί να έχει πρόσβαση σε κωδικούς μιας χρήσης που αποστέλλονται μέσω μηνυμάτων).
Το Revive malware εκτελείται στο παρασκήνιο ως απλό keylogger, καταγράφοντας όλα όσα πληκτρολογεί ο χρήστης στη συσκευή και στέλνοντάς τα στο C2. Επομένως, αποστέλλονται και τα credentials στο C2 των παραγόντων απειλής και στη συνέχεια φορτώνεται μια γενική αρχική σελίδα με συνδέσμους στον πραγματικό ιστότοπο της στοχευμένης τράπεζας.
Με βάση τις αναλύσεις που έκαναν οι ερευνητές της Cleafy, φαίνεται ότι οι δημιουργοί του Revive malware εμπνεύστηκαν από το Teardroid, ένα Android spyware που έχει τον κώδικά του δημόσια διαθέσιμο στο GitHub.
Τα δύο malware παρουσιάζουν ομοιότητες στο API, στο web framework και σε κάποιες λειτουργίες.
Δείτε επίσης: ΗΠΑ: Γερουσιαστές ζητούν από την FTC να διερευνήσει τις πρακτικές δεδομένων των Google και Apple
Σύμφωνα με τους ερευνητές, το Revive malware δεν εντοπίζεται εύκολα από προμηθευτές ασφάλειας. Πιθανότατα, η εστίαση σε συγκεκριμένους στόχους, οι μικρές καμπάνιες και οι τοπικές λειτουργίες δεν δίνουν στους προμηθευτές ασφάλειας πολλές ευκαιρίες να καταγράφουν αυτές τις απειλές και να ορίζουν παραμέτρους αναγνώρισης.
Προς το παρόν, δεν είναι σαφές πώς θα εξελιχθεί το Revive, καθώς το κακόβουλο λογισμικό βρίσκεται ακόμα στα αρχικά του στάδια, όπως είπαμε και παραπάνω. Οι χειριστές του θα μπορούσαν να προσθέσουν ακόμα περισσότερες δυνατότητες ή να αρχίσουν να στοχεύουν χρήστες διαφορετικών τραπεζών.
Πηγή:www.bleepingcomputer.com