Ein bisher unbekannter Android-Bankentrojaner wurde in freier Wildbahn entdeckt und zielt auf Nutzer des spanischen Finanzdienstleisters BBVA ab.
Die Schadsoftware, die von der italienischen Cybersecurity-Firma Cleafy als Revive bezeichnet wird, soll sich in einem frühen Entwicklungsstadium befinden und wurde erstmals am 15. Juni 2022 beobachtet und über Phishing-Kampagnen verbreitet.
Der Name Revive wurde gewählt, weil eine der Funktionen der Malware (die von den [Bedrohungsakteuren] genau ‚revive‘ genannt wird) der Neustart ist, falls die Malware nicht mehr funktioniert“, so die Cleafy-Forscher Federico Valentini und Francesco Iubatti in einem Bericht vom Montag.
Die Malware, die von betrügerischen Phishing-Seiten („bbva.appsecureguide[.]com“ oder „bbva.european2fa[.]com“) heruntergeladen werden kann, um Nutzer zum Herunterladen der App zu verleiten, gibt sich als die Zwei-Faktor-Authentifizierungs-App (2FA) der Bank aus und soll von der Open-Source-Spyware Teardroid inspiriert sein, wobei die Autoren den ursprünglichen Quellcode verändert haben, um neue Funktionen einzubauen.
Im Gegensatz zu anderer Banking-Malware, die es auf eine Vielzahl von Finanz-Apps abgesehen hat, ist Revive auf ein bestimmtes Ziel zugeschnitten, in diesem Fall auf die BBVA-Bank. Dennoch unterscheidet sich Revive nicht von seinen Vorgängern, denn er nutzt die Accessibility Services API von Android, um seine Ziele zu erreichen.
Revive wurde hauptsächlich entwickelt, um die Anmeldedaten der Bank durch die Verwendung ähnlicher Seiten abzufangen und die Übernahme von Konten zu erleichtern. Außerdem enthält es ein Keylogger-Modul, um Tastatureingaben zu erfassen, und die Fähigkeit, SMS-Nachrichten abzufangen, die auf den infizierten Geräten empfangen werden, vor allem Einmalpasswörter und 2FA-Codes, die von der Bank gesendet werden.
„Wenn das Opfer die bösartige App zum ersten Mal öffnet, bittet Revive darum, zwei Berechtigungen für SMS und Anrufe zu akzeptieren“, so die Forscher. „Danach wird dem Nutzer eine Klon-Seite (der Zielbank) angezeigt und wenn die Anmeldedaten eingegeben werden, werden sie an den [Command-and-Control-Server] der TAs gesendet.“
Die Ergebnisse unterstreichen einmal mehr die Notwendigkeit, beim Herunterladen von Apps aus nicht vertrauenswürdigen Quellen Vorsicht walten zu lassen. Google ist der Missbrauch von Sideloading nicht entgangen und hat eine neue Funktion in Android 13 implementiert, die solche Apps daran hindert, Accessibility-APIs zu nutzen.