В середине июня 2022 года специалисты по кибербезопасности компании Cleafy обнаружили киберпреступную кампанию, в рамках которой злоумышленники активно распространяют нового банковского троянца, рассчитанного на Android-устройства.
Обнаруженный вредоносный инструмент получил название Revive из-за его возможности автоматического перезапуска, если по какой-то причине его работа будет прекращена пользователем или системой. В Cleafy отмечают, что вредонос относится к категории вредоносного ПО, рассчитанного для использования в постоянных киберпреступных кампаниях.
Специалисты Cleafy уточнили, что Revive был создан для достижения конкретных целей. На данный момент вредонос используется злоумышленниками только для атак на пользователей из Испании, являющихся клиентами крупных частных и государственных испанских банков.
«Методологии атаки, которые используются в случае с Revive, аналогичны многим другим видам банковских троянов, потому что вредоносное ПО в своей работе пользуется службами специальных возможностей для реализации действий по кейлоггерам и перехвата СМС-сообщений с кодами подтверждения пользователей», – уточнили в Cleafy.
Доставка вредоносного инструмента Revive на устройства пользователей осуществляется киберпреступниками с применением различных методов социальной инженерии. Если пользователь устанавливает приложение, то оно просит предоставить ему полный перечень разрешений, связанных с управлением СМС-сообщениями и телефонными звонками.
Сразу после предоставления разрешений приложение Revive перенаправляет пользователя на фишинговую страницу его банка, на которой предлагается ввести учётные данные. Если пользователь вводит данные, то вредоносный инструмент перехватывает входящее СМС-сообщение от финансового учреждения. Затем Revive просто перенаправляет жертву на реальную страницу его банка, чтобы убрать все подозрения.
«Первоначальный анализ кода Revive показал, что оба образца этого вредоносного ПО, полученные Cleafy, на данный момент имеют крайне низкий уровень обнаружения даже высокоэффективными антивирусными решениями, возможно, потому что вредоносное ПО всё ещё находятся в стадии разработки», – уточнили в компании Cleafy.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.