Revive Banking Trojan

Cybercriminelen richten zich op de klanten van een specifieke Spaanse bank met een voorheen onbekende banking Trojan-malware. De dreiging wordt gevolgd door infosec-experts als Revive en is ontworpen om Android-apparaten te infecteren. Het doel van de aanvallers is om de controle over de bankrekeningen van hun slachtoffers over te nemen en vervolgens geld van hen over te hevelen.

De dreiging doet zich voor als een nieuwe 2FA-beveiligingstoepassing (Two-Factor Authentication) die zogenaamd wordt vrijgegeven door de beoogde bank. Eenmaal geïnstalleerd op het apparaat, probeert Revive verschillende machtigingen te verkrijgen onder de functie Toegankelijkheidsservice. Als dit lukt, kan de Trojan talloze invasieve acties op het apparaat uitvoeren. De aanvallers kunnen gevoelige informatie verkrijgen via keylogging-routines, sms-berichten onderscheppen en meer. Dankzij deze mogelijkheden kan de dreiging inkomende 2FA- en OTP-codes en wachtwoorden (eenmalige wachtwoorden) verkrijgen.

De belangrijkste functionaliteit van Revive bestaat echter uit het openen van een nepscherm dat is ontworpen om de officiële pagina van de beoogde bank nauw na te bootsen. Gebruikers wordt gevraagd om hun inloggegevens in te voeren. De verstrekte informatie wordt vervolgens verzonden naar de Command-and-Control-server van de operatie.