Revive, el peligrosísimo malware de Android que ataca a clientes de BBVA

Se ha descubierto un nuevo malware bancario en Android llamado Revive, que se hace pasar por una app de autenticación en dos pasos o 2FA y ataca específicamente a los clientes del banco BBVA.

Destaca sobre todo el hecho de crear una herramienta que ataca específicamente a los clientes del BBVA y en España. Este tipo de malware es bastante diferente de otros famosos troyanos bancarios para Android, como TeaBot o SharkBot , que son capaces, al mismo tiempo, de atacar varios bancos/aplicaciones criptográficas instaladas en el dispositivo infectado a través de su arquitectura modular.

Así funciona Revive y cómo suplanta al BBVA

Investigadores de Cleafy fueron los primeros en ver este malware actuar el 15 de junio y analizaron su comportamiento. Actualmente, Revive tiene tres capacidades principales en caso de infección exitosa en Android:

  • Capturar todo lo escrito en el dispositivo a través de un módulo keylogger, para robar claves si no se accede con tu huella dactilar o a través de la tecnología de reconocimiento facial de tu teléfono móvil.
  • Realizar ataques de phishing mediante el uso de páginas clonadas, cuyo objetivo es robar las credenciales de inicio de sesión bancarias.
  • Interceptar todos los SMS recibidos en el dispositivo infectado, generalmente de bancos e instituciones financieras en el área PSD2 (por ejemplo, códigos de autorización 2FA (Two Factor Authentication) y OTP (One Time Password).
Revive

Revive BBVA (Foto: Cleafy)

Se ha elegido el nombre Revive ya que una de las funcionalidades del malware (llamado por las ciberdelincuentes precisamente “revivir”) es el reinicio en caso de que el malware deje de funcionar.

Hablando de funcionamiento, incluso se creó un videotutorial falso suplantando al BBVA en el que se guiaba a las víctimas sobre el proceso de instalación con engaños como «Dado que esta aplicación es solo para clientes de BBVA, es posible que haya una advertencia de Google Play Store y Android. Necesitamos que permita los permisos para asegurarnos de que la aplicación 2FA lo proteja correctamente».

Control completo vía accesibilidad

Una vez que la víctima descarga el malware, Revive intenta obtener la función del Servicio de Accesibilidad a través de una ventana emergente. Este permiso se usa para monitorear y robar información del dispositivo de la víctima.

Cuando el usuario inicia la aplicación por primera vez, se le solicita que le conceda acceso a SMS y llamadas telefónicas, lo que podría parecer normal para una aplicación de autenticación en dos factores. Después de eso, Revive continúa ejecutándose en segundo plano como un simple registrador de teclas, registrando todo lo que el usuario escribe en el dispositivo y enviándolo periódicamente al servidor de Control y Comando (C&C o C2).

Al hacerlo, se enviarán las credenciales al C2 de los ciberdelincuentes y luego se cargará una página de inicio genérica con enlaces al sitio web real del banco objetivo, para minimizar las posibilidades de detección.

Detecciones antivirus Revive

Detecciones antivirus Revive (Foto: Cleafy)

Hablando de detección, análisis realizados en las pruebas de Cleafy en VirusTotal arrojan cuatro detecciones en una muestra y ninguna en una variante posterior del malware. A pesar de estar probablemente basado en Teradroid, el spyware de Android cuyo código está disponible públicamente en GitHub, el hecho de que Revive sea tan específico hace que evite los controles de seguridad.