Gli esperti di Cleafy, azienda italiana di Milano, hanno scoperto un nuovo trojan bancario per Android. Revive viene utilizzato per intercettare i codici dell’autenticazione in due fattori e accedere agli account bancari dei clienti di BBVA. Al momento gli attacchi sono limitati alla Spagna, ma BBVA è presente anche in Italia, quindi è fortemente consigliata l’installazione di un antivirus che rileva e blocca i tentativi di phishing.
Revive: da spyware a trojan bancario
Analizzando il codice, gli esperti di Cleafy hanno scoperto alcune similitudini con Teardroid, uno spyware open source. Gli autori di Revive hanno eliminato alcune funzionalità di Teardroid e aggiunto quelle che permettono di effettuare un attacchi “account takeover”. Ecco perché si tratta di un trojan bancario. A differenza di altri simili malware, Revive viene utilizzato solo per colpire i clienti di BBVA.
I cybercriminali usano tecniche di social engineering per convincere le vittime al download di un’app che dovrebbe servire per l’autenticazione in due fattori. Nell’email di phishing viene spiegato che l’attuale app della banca non rispetta più i livelli minimi di sicurezza. L’app fasulla viene distribuita tramite un sito dall’aspetto professionale, sul quale è presente anche un video che spiega la procedura di installazione e come accettare il permesso di usare i servizi di accessibilità.
All’avvio dell’app vengono inoltre chiesti i permessi di accesso agli SMS e alle chiamate. Successivamente appare sullo schermo l’interfaccia di login in cui devono essere inserite le credenziali di accesso al conto bancario che finiscono nelle mani dei cybercriminali, insieme ai codici OTP inviati via SMS.