Un cheval de Troie bancaire Android jusqu’alors inconnu a été découvert dans la nature, ciblant les utilisateurs de la société espagnole de services financiers BBVA. Dit être à ses premiers stades de développement, le malware – surnommé Revive par la société italienne de cybersécurité Cleafy – a été observé pour la première fois le 15 juin 2022 et distribué au moyen de campagnes de phishing. « Le nom Revive a été choisi car l’une des fonctionnalités du logiciel malveillant (appelée par les [acteurs de la menace] précisément » revivre « ) redémarre au cas où le logiciel malveillant cesserait de fonctionner, ont déclaré les chercheurs de Cleafy, Federico Valentini et Francesco Iubatti, dans un article publié lundi. en haut. Disponible en téléchargement à partir de pages de phishing frauduleuses (« bbva.appsecureguide[.]com » ou « bbva.european2fa[.]com ») pour inciter les utilisateurs à télécharger l’application, le malware se fait passer pour l’authentification à deux facteurs de la banque (2FA ) et serait inspiré d’un logiciel espion open source appelé Teardroid, les auteurs modifiant le code source d’origine pour incorporer de nouvelles fonctionnalités.

Contrairement à d’autres logiciels malveillants bancaires connus pour cibler un large éventail d’applications financières, Revive est conçu pour une cible spécifique, dans ce cas, la banque BBVA. Cela dit, il n’est pas différent de ses homologues en ce sens qu’il exploite l’API des services d’accessibilité d’Android pour atteindre ses objectifs opérationnels.

Revive est principalement conçu pour récolter les identifiants de connexion de la banque grâce à l’utilisation de pages similaires et faciliter les attaques de prise de contrôle de compte. Il intègre également un module d’enregistreur de frappe pour capturer les frappes et la capacité d’intercepter les messages SMS reçus sur les appareils infectés, principalement les mots de passe à usage unique et les codes 2FA envoyés par la banque. « Lorsque la victime ouvre l’application malveillante pour la première fois, Revive demande d’accepter deux autorisations liées aux SMS et aux appels téléphoniques », ont déclaré les chercheurs. « Après cela, une page clone (de la banque ciblée) apparaît à l’utilisateur et si les identifiants de connexion sont insérés, ils sont envoyés au [serveur de commande et de contrôle] des TA. » Les résultats soulignent une fois de plus la nécessité de faire preuve de prudence lorsqu’il s’agit de télécharger des applications à partir de sources tierces non fiables. L’abus de sideloading n’est pas passé inaperçu par Google, qui a implémenté une nouvelle fonctionnalité dans Android 13 qui empêche ces applications d’utiliser les API d’accessibilité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *