İspanya'daki BBVA banka hesaplarına giriş yapmak için gereken bir 2FA başvurusunu taklit eden Revive adlı yeni bir Android bankacılık kötü amaçlı yazılım keşfedildi.
Yeni bankacılık Truva atı, birden fazla finans enstitüsünün müşterilerini tehlikeye atmaya çalışmak yerine BBVA bankasını hedefleyen daha odaklanmış bir yaklaşım izliyor.
Revive erken bir geliştirme aşamasında olsa da, zaten iki faktörlü kimlik doğrulama (2FA) kodlarını ve tek seferlik şifreleri ele geçirmek gibi gelişmiş işlevler olabilir.
Cleafy'deki araştırmacılar Revive'i keşfettiler ve bunu sonlandırılırsa kendini yeniden başlatmak için kötü amaçlı yazılım tarafından kullanılan aynı adın bir fonksiyonundan sonra adlandırdılar.
Cleafy'nin analistlerine göre, yeni kötü amaçlı yazılım, potansiyel kurbanları kimlik avı saldırıları yoluyla hedefliyor ve onları yükseltilmiş banka hesabı güvenliği için gerekli bir 2FA aracı olan bir başvuru indirmeye ikna ediyor.
Bu kimlik avı saldırısı, gerçek banka uygulamasına gömülü 2FA işlevinin artık güvenlik seviyesi gereksinimlerini karşılamadığını iddia ediyor, bu nedenle kullanıcıların bankacılık güvenliğini yükseltmek için bu ek aracı yüklemeleri gerekiyor.
Uygulama, profesyonel bir görünüme sahip olan ve hatta indirme ve yükleme sürecinde kurbanlara rehberlik etmek için bir video öğreticisine sahip olan özel bir web sitesinde barındırılır.
Kurulum üzerine, temel olarak ekranın tam kontrolünü ve ekran musluklarını ve navigasyon eylemlerini gerçekleştirme yeteneğini veren erişilebilirlik hizmetini kullanma iznini yeniden canlandırın.
Kullanıcı uygulamayı ilk kez başlattığında, 2FA yardımcı programı için normal görünebilecek SMS ve telefon görüşmelerine erişim vermeleri istenir.
Bundan sonra, Revive arka planda basit bir keylogger olarak çalışmaya devam eder, kullanıcının cihazdaki her şeyi kaydederek ve periyodik olarak C2'ye gönderir.
Bunu yapmak, kimlik bilgilerini tehdit aktörlerinin C2'sine gönderecek ve daha sonra hedeflenen bankanın gerçek web sitesine bağlantıları olan genel bir ana sayfa yüklenir.
Bundan sonra, Revive, kullanıcının cihazda yazdığı her şeyi kaydederek ve periyodik olarak C2'ye göndererek arka planda çalışmaya devam eder.
Cleafy'nin yeni kötü amaçlı yazılımların kod analizine dayanarak, yazarlarının kodunu GitHub'da halka açık olan Teradroid, Android casus yazılımlarından ilham aldıkları anlaşılıyor.
İkisi API, web çerçevesi ve işlevlerinde kapsamlı benzerlikleri paylaşır. Revive, kimlik bilgilerini toplamak ve SMS mesajlarını engellemek için özel bir kontrol paneli kullanır.
Sonuç, herhangi bir güvenlik satıcısı tarafından neredeyse hiç tespit edilmeyen bir uygulamadır. Örneğin, Cleafy'nin Virustotal üzerindeki testleri bir örnekte dört tespit ve daha sonraki bir varyantta hiçbirini geri getirmez.
Muhtemelen, dar hedefleme, kısa vadeli kampanyalar ve yerel operasyonlar, güvenlik satıcılarına bu tehditleri kaydetmek ve kimlik parametrelerini belirlemek için birçok fırsat vermez, böylece radarın altında daha uzun süre uçabilirler.
Yeni Malibot Android Bankacılık Kötü Yazılım Kripto Madenci olarak yayılıyor
İlk 10 Android Bankacılık Trojans 1 milyar indirme ile hedef uygulamalar
Kötü amaçlı yazılım dağıtım seviyesi düştükçe mobil Truva Tespiti Artar
Yeni ERMAC 2.0 Android Kötü Yazılım Hesaplar, Cüzdanlar 467 Uygulamadan Çıkarıyor
Android-Wiping Brata Kötü Yazılımlar Kalıcı Bir Tehdidi'ne dönüşüyor
Kaynak: Bleeping Computer