Image default
Analytic

Revive, el peligrosísimo malware de Android que ataca a clientes de BBVA

Destaca sobre todo el hecho de crear una herramienta que ataca específicamente a los clientes del BBVA y en España. Este tipo de malware es bastante diferente de otros famosos troyanos bancarios para Android, como TeaBot o SharkBot , que son capaces, al mismo tiempo, de atacar varios bancos/aplicaciones criptográficas instaladas en el dispositivo infectado a través de su arquitectura modular.

Así funciona Revive y cómo suplanta al BBVA

Investigadores de Cleafy fueron los primeros en ver este malware actuar el 15 de junio y analizaron su comportamiento. Actualmente, Revive tiene tres capacidades principales en caso de infección exitosa en Android:

  • Capturar todo lo escrito en el dispositivo a través de un módulo keylogger, para robar claves si no se accede con tu huella dactilar o a través de la tecnología de reconocimiento facial de tu teléfono móvil.
  • Realizar ataques de phishing mediante el uso de páginas clonadas, cuyo objetivo es robar las credenciales de inicio de sesión bancarias.
  • Interceptar todos los SMS recibidos en el dispositivo infectado, generalmente de bancos e instituciones financieras en el área PSD2 (por ejemplo, códigos de autorización 2FA (Two Issue Authentication) y OTP (One Time Password).
Revive

Revive BBVA (Foto: Cleafy)

Se ha elegido el nombre Revive ya que una de las funcionalidades del malware (llamado por las ciberdelincuentes precisamente “revivir”) es el reinicio en caso de que el malware deje de funcionar.

Hablando de funcionamiento, incluso se creó un videotutorial falso suplantando al BBVA en el que se guiaba a las víctimas sobre el proceso de instalación con engaños como «Dado que esta aplicación es solo para clientes de BBVA, es posible que haya una advertencia de Google Play Retailer y Android. Necesitamos que permita los permisos para asegurarnos de que la aplicación 2FA lo proteja correctamente».

Management completo vía accesibilidad

Una vez que la víctima descarga el malware, Revive intenta obtener la función del Servicio de Accesibilidad a través de una ventana emergente. Este permiso se usa para monitorear y robar información del dispositivo de la víctima.

Cuando el usuario inicia la aplicación por primera vez, se le solicita que le conceda acceso a SMS y llamadas telefónicas, lo que podría parecer regular para una aplicación de autenticación en dos factores. Después de eso, Revive continúa ejecutándose en segundo plano como un easy registrador de teclas, registrando todo lo que el usuario escribe en el dispositivo y enviándolo periódicamente al servidor de Management y Comando (C&C o C2).

Al hacerlo, se enviarán las credenciales al C2 de los ciberdelincuentes y luego se cargará una página de inicio genérica con enlaces al sitio net actual del banco objetivo, para minimizar las posibilidades de detección.

Detecciones antivirus Revive

Detecciones antivirus Revive (Foto: Cleafy)

Hablando de detección, análisis realizados en las pruebas de Cleafy en VirusTotal arrojan cuatro detecciones en una muestra y ninguna en una variante posterior del malware. A pesar de estar probablemente basado en Teradroid, el spy ware de Android cuyo código está disponible públicamente en GitHub, el hecho de que Revive sea tan específico hace que evite los controles de seguridad.

Related posts

El bitcoin se sacude la presión mientras incuba un suelo en los 20.000$

admin

Funcionarios de EE. UU. vinculan a piratas informáticos norcoreanos con robo de criptomonedas de USD 615 millones

admin

La Actualización De Litecoin Que Promueve Transacciones Confidenciales No Cuenta Con El Soporte De Binance – Criptotendencias

admin

Leave a Comment