İspanyol finansal hizmetler şirketi BBVA’nın kullanıcılarını hedef alan, daha önce bilinmeyen bir Android bankacılık truva atı vahşi doğada keşfedildi.
Geliştirmenin erken aşamalarında olduğu söylenen kötü amaçlı yazılım – Canlandırmak İtalyan siber güvenlik firması Cleafy tarafından – ilk olarak 15 Haziran 2022’de gözlemlendi ve kimlik avı kampanyaları aracılığıyla dağıtıldı.
“Riveve adı, kötü amaçlı yazılımın işlevlerinden birinin ( [threat actors] tam olarak ‘canlandırma’), kötü amaçlı yazılımın çalışmayı durdurması durumunda yeniden başlatılıyor, “Cleafy araştırmacıları Federico Valentini ve Francesco Iubatti söz konusu Pazartesi yazısında.
Hileli kimlik avı sayfalarından indirilebilir (“bbva.appsecureguide”[.]com” veya “bbva.european2fa[.]com”), kullanıcıları uygulamayı indirmeleri için kandırmak için bir yem olarak, kötü amaçlı yazılım bankanın iki faktörlü kimlik doğrulama (2FA) uygulamasının kimliğine bürünür ve adı verilen açık kaynaklı casus yazılımdan esinlendiği söylenir. gözyaşıyazarlar yeni özellikleri birleştirmek için orijinal kaynak kodunu değiştiriyor.
Çok çeşitli finansal uygulamaları hedef aldığı bilinen diğer bankacılık kötü amaçlı yazılımlarının aksine Revive, bu durumda BBVA bankası olmak üzere belirli bir hedef için uyarlanmıştır. Bununla birlikte, operasyonel hedeflerini karşılamak için Android’in erişilebilirlik hizmetleri API’sini kullanması bakımından benzerlerinden farklı değil.
Revive, esas olarak, benzer sayfaların kullanımı yoluyla bankanın oturum açma kimlik bilgilerini toplamak ve hesap ele geçirme saldırılarını kolaylaştırmak için tasarlanmıştır. Ayrıca, tuş vuruşlarını yakalamak için bir tuş kaydedici modülü ve virüslü cihazlarda alınan SMS mesajlarını, özellikle bir kerelik şifreleri ve banka tarafından gönderilen 2FA kodlarını engelleme yeteneği içerir.
Araştırmacılar, “Kurban, kötü amaçlı uygulamayı ilk kez açtığında, Revive, SMS ve telefon görüşmeleriyle ilgili iki izni kabul etmesini ister” dedi. “Bundan sonra, kullanıcıya bir klon sayfası (hedeflenen bankanın) görünür ve oturum açma bilgileri girilirse, bunlar bankaya gönderilir. [command-and-control server] TA’ların.”
Bulgular, üçüncü taraf güvenilmeyen kaynaklardan uygulama indirirken dikkatli olunması gerektiğini bir kez daha vurguluyor. Android 13’te bu tür uygulamaların erişilebilirlik API’lerini kullanmasını engelleyen yeni bir özellik uygulayan Google, yandan yüklemenin kötüye kullanılmasının da farkında değil.