伪装成BBVABank2FA应用程序的Android恶意软件“Revive”的深度伪装银行账户所需的2FA应用程序。新的银行木马采用更有针对性的方法来瞄准BBVA,而不是试图损害多家金融机构的客户。虽然Revive仍处于早期开发阶段,但它已经具备高级功能,例如阻止双因素身份验证(2FA)代码和一次性密码。Revive由Cleafy的研究人员发现,并以恶意软件使用的同名功能命名,该功能在终止后会自动重新启动。据研究人员称,新的恶意软件通过网络钓鱼攻击诱骗用户下载应用程序,这是升级银行账户安全性所需的2FA工具。钓鱼攻击通过诱骗用户实际银行应用程序中嵌入的2FA功能不再满足安全级别要求,用户需要安装此附加工具来诱骗用户升级银行安全。该应用程序位于一个专门的网站上,该网站不仅展示了该应用程序的专业外观,甚至还提供了一个视频教程来指导受害者完成下载和安装过程。当用户安装它时,Revive会请求使用辅助功能服务的权限,这基本上赋予它对屏幕的完全控制以及执行屏幕点击和导航操作的能力。当用户首次启动该应用程序时,他们会被要求授予其访问短信和电话的权限,这对于2FA应用程序来说似乎很正常。然后将凭据发送到威胁行为者的C2,然后加载一个通用主页,其中包含指向目标银行真实网站的链接。之后,Revive继续作为一个简单的键盘记录器在后台运行,记录用户在设备上键入的所有内容,并定期将其发送到C2。在Cleafy的代码分析中,作者也受到了Teradroid的启发,这是一款Android间谍软件,其代码在GitHub上公开。两者在API、Web框架和功能方面有广泛的相似之处。Revive使用自定义控制面板来收集凭据和拦截SMS消息。可以说,这款恶意软件是一款几乎不会被任何安全厂商检测到的应用程序。例如,Cleafy对VirusTotal的测试在一个样本上返回了4个检测结果,但在后一个变体上则没有。小规模目标、短期活动和本地化操作也可能没有给安全供应商很多机会来记录这些威胁并设置识别参数,以便它们可以潜伏更长时间。参考来源:https://www.bleepingcomputer.com/news/security/android-malware-revive-impersonates-bbva-bank-s-2fa-app/
