Trojan perbankan Android yang sebelumnya tidak dikenal telah ditemukan di alam liar, menargetkan pengguna perusahaan jasa keuangan Spanyol BBVA.
Dikatakan dalam tahap awal pengembangan, malware — dijuluki Membangkitkan oleh perusahaan keamanan siber Italia Cleafy — pertama kali diamati pada 15 Juni 2022 dan didistribusikan melalui kampanye phishing.
“Nama Revive dipilih karena salah satu fungsi dari malware (disebut dengan [threat actors] tepatnya ‘revive’) dimulai ulang jika malware berhenti bekerja, peneliti Cleafy Federico Valentini dan Francesco Iubatti mengatakan dalam artikel Senin.
Tersedia untuk diunduh dari halaman phishing jahat (“bbva.appsecureguide[.]com” atau “bbva.european2fa[.]com”) sebagai iming-iming untuk mengelabui pengguna agar mengunduh aplikasi, malware tersebut meniru aplikasi dua faktor otentikasi (2FA) bank dan dikatakan terinspirasi dari spyware open-source yang disebut Teardroid, dengan penulis mengubah kode sumber aslinya menjadi menggabungkan fitur baru.
Tidak seperti malware perbankan lainnya yang diketahui menargetkan berbagai aplikasi keuangan, Revive dirancang untuk target tertentu, dalam hal ini, bank BBVA. Yang mengatakan, itu tidak berbeda dari rekan-rekannya karena memanfaatkan API layanan aksesibilitas Android untuk memenuhi tujuan operasionalnya.
Revive terutama direkayasa untuk memanen kredensial login bank melalui penggunaan halaman yang mirip dan memfasilitasi serangan pengambilalihan akun. Ini juga menggabungkan modul keylogger untuk menangkap penekanan tombol dan kemampuan untuk mencegat pesan SMS yang diterima pada perangkat yang terinfeksi, terutama kata sandi satu kali dan kode 2FA yang dikirim oleh bank.
“Saat korban membuka aplikasi jahat untuk pertama kalinya, Revive meminta untuk menerima dua izin terkait SMS dan panggilan telepon,” kata para peneliti. “Setelah itu, halaman klon (dari bank yang ditargetkan) muncul kepada pengguna dan jika kredensial login dimasukkan, mereka dikirim ke [command-and-control server] dari TA.”
Temuan ini sekali lagi menggarisbawahi perlunya berhati-hati saat mengunduh aplikasi dari sumber pihak ketiga yang tidak tepercaya. Penyalahgunaan sideloading tidak luput dari perhatian Google, yang telah menerapkan fitur baru di Android 13 yang memblokir aplikasi semacam itu agar tidak menggunakan API aksesibilitas.