La empresa de ciberseguridad Cleafy Labs ha descubierto un nuevo virus bancario llamado Revive que está operando en España, atacando a los clientes que tienen una cuenta en el banco BBVA y utilizan un móvil Android.
Este malware se hace pasar por una aplicación oficial del BBVA que es necesaria para iniciar sesión desde el teléfono y poder operar con nuestra cuenta. Hablamos de aplicaciones 2FA para la verificación en dos pasos, y es un tipo de app bastante utilizada en este tipo de entornos que buscan ser seguros al máximo.
Así funciona Revive, el nuevo malware bancario para Android que ataca a los clientes del BBVA
El malware Revive lo primero que hace es realizar un ataque de phishing, suplantando la identidad del banco y animando a la víctima para que descargue esta supuesta aplicación de verificación del BBVA. Para ello, intenta convencerle de que la app del banco ya no es segura, y que necesita instalar esta nueva app para actualizar sus sistemas de protección.
La app estás albergada en una página web de apariencia profesional, y hasta incluye un videotutorial para que el usuario pueda descargar e instalar la aplicación maliciosa sin problemas.
Una vez instalada la falsa app de verificación, el troyano de Revive solicita permisos de accesibilidad, lo que le permite tomar el control total de la pantalla y la capacidad de registrar todas las acciones que va realizando la víctima.
La primera vez que se ejecuta la aplicación también solicitará acceso a los SMS y a las llamadas, algo que de entrada puede parecer normal en una app de verificación.
Una vez está asentado en el sistema, Revive se mantiene funcionando en segundo plano como un simple keylogger, registrando todos los tecleos y movimientos del usuario para después enviárselos al hacker de manera periódica.
Por tanto, este malware es capaz de registrar todos los usuarios y contraseñas de la víctima, no solo sus credenciales bancarias del BBVA. La supuesta app del banco funciona como una puerta de entrada, pero una vez la tenemos instalada en el móvil nos robará todas las cuentas que pueda: Amazon, Paypal y todo lo que pille por delante.
Según indican desde Cleafy Labs, el virus también es capaz de captar códigos de verificación 2FA y contraseñas de un solo uso. Por si esto fuera poco, el virus recibió el nombre de “Revive” debido a que es capaz de reiniciarse por si mismo en caso de cierre, por lo que un simple reinicio o cierre de la aplicación no bastará para librarse de él.
Fuente: Bleeping Computer
