Otro día, otro malware descubierto causando estragos en los dispositivos móviles de los usuarios. En esta ocasión se trata de Revive, un malware bancario que enfoca su acción en dispositivos móviles Android haciéndose pasar por una app 2FA y se presenta al usuario como una página de paso obligatorio para iniciar sesión en la plataforma bancaria.
Algo que resulta notable de este troyano es el hecho de estar exclusivamente enfocado en atacar clientes pertenecientes a la banca española del BBVA.
Gracias al trabajo realizado por un grupo de investigadores, se pudo conocer que Revive es capaz de reiniciarse una vez que ha sido descubierto, de ahí el origen de su nombre.
Es así que al entrar en funcionamiento el malware despliega su estrategia tratando de convencer a la víctima para que lleve a cabo la descarga de una aplicación, simulando ser esto parte de un proceso de verificación en dos pasos que supuestamente servirá para mejorar la seguridad de la cuenta bancaria con BBVA.
Todo esto ocurre dentro de una web externa que replica la interfaz de BBVA, usando la misma temática y colores corporativos. Incluso la página presenta un video a modo de tutorial que sirve como guía a las personas para efectuar el proceso de descarga de la aplicación.
Luego de culminar la descarga de la aplicación, se pone en marcha la petición de permisos por parte de esta en el móvil, de manera que el usuario otorgue los accesos necesarios para que los hackers puedan saber en qué punto de la pantalla está pulsando y así obtener total control de esta.
Otras áreas de importancia tomadas por este malware son la de los SMS y las llamadas telefónicas.
Una vez completada esta misión, Revive comenzará el monitoreo de la aplicación BBVA instalada en el dispositivo, así como de otras, puesto que, si bien está diseñada para simular la plataforma online de este banco, su acción puede abarcar tanto esta como otras aplicaciones bancarias y en general todo el sistema Android de tu teléfono inteligente.
Tras haber obtenido los datos de interés, el malware envía estos a los hackers, activándose a su vez la carga de una página genérica, en la cual se incluirán los enlaces al sitio web original; todo esto sin que el usuario lo note.
Desde ese momento todos los toques dados en la pantalla irán siendo registrados por los atacantes regularmente hasta obtener las credenciales del usuario para acceder a su cuenta bancaria.
Fuente info
Autor: Alexander Alvarado