本月早些时候,来自 Cleafy 的安全研究人员在野外发现了一个新的 Android 银行木马。
这个工具被称为“ Revive”,因为它的一个功能是在停止工作时自动重新启动,据报道,这个工具属于为持续性活动设计的一类恶意软件。
Cleafy 在周一的一份咨询报告中解释说,“Revive”是针对特定目标开发的(目前是西班牙的银行)。
与此同时,研究人员补充说,Revive 背后的攻击方法与其他银行木马类似,因为恶意软件仍然利用无障碍服务执行键盘记录活动和拦截受害者的短信息。
通过各种社会工程技术交付,在安装 Cleafy 应用程序将要求用户接受与短信和电话有关的权限。
一旦授予了权限,Revive 就会将用户重定向到(目标银行的)克隆页面,并提示他们插入凭据。
然后,这些信息将被发送到威胁行为者(TA)的指挥和控制基础设施(C2) ,以及任何通过短信或银行电话发送的双因素认证(2FA)或一次性密码(OTP)代码。
最后,Revive 将把受害者重定向到一个带有合法银行网站链接的通用主页,以避免惊动用户。
对 Revive 代码的初步分析显示,Cleafy 获得的两个样本目前都具有非常低的抗病毒解决方案(AVs)检测率,可能是因为它们仍在开发中。
在与现有恶意软件的相似性方面,安全研究人员表示,Revive 背后的恶意行为者从名为“ Teardroid”的开源间谍软件获得灵感,因为这两个工具似乎都基于 FastAPI,一个用于在 Python 中开发 RESTful API 的 Web 框架,而且两个恶意软件实例的代码部分似乎是相似的。
然而,Revive 背后的威胁参与者会对其进行修改,以执行帐户接管攻击(ATO)。由于这种差异,Cleafy 将 Revive 归类为银行木马,而不仅仅是间谍软件。
在发现 Revive 的几天前,Cleafy 将 BRATA 安卓恶意软件组的分类升级为进阶持续性渗透攻击(APT)。