Un nuevo troyano bancario tiene a España como su principal objetivo y a la entidad BBVA como cebo para conseguir sus fines. El malware aún se encuentra en fase de desarrollo y ha sido bautizado como “Revive” por los investigadores de Cleafy haciendo alusión a una de sus funciones. Los ciberdelincuentes instan a los usuarios del banco a descargar una aplicación 2FA por su seguridad, pero al instalarla pueden tomar el control del dispositivo.
Recientemente, Cleafy también nos informó sobre la proliferación de una nueva variante de BRATA, otro troyano bancario, que se estaba extendiendo por España, Italia y Reino Unido. Este caso recuerda un poco a dicho malware, ya que, además de tener a nuestro país en el punto de mira, trata de engañar a los usuarios mediante el phishing y la ingeniería social.
Y no solo eso. El modus operandi de los responsables de BRATA parece bastante similar al de Revive, ya que prefieren dirigirse a una sola entidad bancaria a la vez, en lugar de intentarlo con varias simultáneamente. La principal razón de ello es la de no llamar demasiado la atención. Tratan de pasar desapercibidos el mayor tiempo posible para, una vez descubiertos, cambiar de objetivo.
“Revive pertenece a una categoría de malware utilizado para campañas persistentes, ya que fue desarrollado y adaptado para un objetivo específico. Este tipo de malware es bastante diferente de otros famosos troyanos bancarios para Android, como TeaBot o SharkBot , que son capaces, al mismo tiempo, de atacar varios bancos/aplicaciones criptográficas instaladas en el dispositivo infectado a través de su arquitectura modular,” explican desde la compañía.
Utilizan a BBVA como cebo
En esta ocasión, sus principales víctimas son BBVA y los usuarios españoles de dicho banco. Como comentan desde Cleafy, el malware aún se encuentra en fase de desarrollo, por lo que es bastante difícil de detectar por las distintas soluciones antivirus para dispositivos móviles. Oficialmente, no tiene nombre, pero los investigadores lo han llamado “Revive”, haciendo referencia a una de sus funciones, que permite reiniciar el dispositivo cuando el malware deja de funcionar.
No obstante, esa funcionalidad no es precisamente la más preocupante de las que puede realizar. Revive es capaz, entre otras cosas, de registrar la pulsación de teclas de los usuarios e interceptar los SMS, incluso aquellos que contienen códigos de verificación de dos pasos para acceder a determinadas cuentas.
La última de estas características es la más alarmante y Cleafy ha descubierto la técnica a la que están recurriendo los piratas informáticos para lograrlo y, por ende, hacerse con las credenciales de las cuentas de los clientes de BBVA. Y es que estos instan a los usuarios a descargar una aplicación 2FA por motivos de seguridad para supuestamente poder acceder a su cuenta bancaria. Lo más curioso es que el mensaje viene acompañado de un video tutorial que explica cómo instalarlo. Pero nada más lejos de la realidad. Evidentemente, se trata de una artimaña.
Control total de los dispositivos
Una vez instalado, el software malicioso solicita permisos para obtener un control total del dispositivo y acceder a los mensajes y a las llamadas telefónicas, algo que debería encender todas las alarmas. Al entrar en la “aplicación”, se muestra un sitio de phishing que simula pertenecer a la entidad bancaria y le pide al usuario que ingrese sus credenciales. Lo que pasa después ya te lo puedes imaginar: todos los datos son enviados al servidor C2 (Comando y control), lo que permite que los actores de amenazas puedan acceder a las cuentas de sus víctimas.
Sin embargo, no solo se limitan al robo de credenciales. Como dijimos antes, el malware obtiene un control total del dispositivo, por lo que puede registrar cada pulsación que realizan los usuarios en sus teléfonos móviles y enviar esa información a una base de datos de los ciberdelincuentes. Si a esto, además, le sumamos la posibilidad de interceptar los mensajes de verificación de dos pasos, las consecuencias pueden llegar a ser realmente demoledoras.
Según Cleafy, el creador de Revive se inspiró en Teardroid, otro malware disponible en GitHub, ya que el código de ambos es bastante similar, compartiendo tanto el nombre de algunas variables como el funcionamiento general de la infraestructura C2 utilizada. Aunque todo ello salvando las distancias. Cada uno tiene objetivos diferentes: Teardroid es un spyware, mientras que Revive ya es considerado como un troyano bancario.
Imagen de Sora Shimazaki en Pexels