Un grupo de investigadores de Cleafy ha descubierto un nuevo malware bancario en Android. Revive, como lo han denominado, se hace pasar por una aplicación de seguridad para atacar específicamente a los clientes del banco BBVA.

Los clientes del BBVA deben estar muy alerta si no quieren convertirse en las nuevas víctimas de un malware bancario, Revive, diseñado específicamente para hacerse con los datos de los clientes de la entidad.

Y es que, al contrario de otros troyanos bancarios como TeaBot o SharkBot, este malware está pensado solo para hacerse con las credenciales de los usuarios de los clientes del BBVA, y específicamente en España.

Si bien Revive se encuentra en una fase temprana de desarrollo, ya es capaz de funciones avanzadas como interceptar códigos de autenticación de dos factores (2FA) y contraseñas de un solo uso.

Este malware bancario se hace pasar por una aplicación de doble factor de autenticación que alerta al usuario de que es necesaria para iniciar sesión en la banca online. Los clientes reciben un mensaje SMS en su móvil en el que se les indica la importancia de instalar esta aplicación de seguridad adicional para mantener su cuenta segura.

Cómo funciona Revive

Cuando los usuarios pinchan en el enlace para descargar la aplicación, este les lleva a una web externa que simula ser del banco. En ella, los usuarios pueden ver un tutorial en vídeo en el que se les explica el proceso de descarga de la aplicación para hacerlo de forma segura.

Revive malware bancario BBVA  SMS ciberseguridad noticia bit life media

Una vez descargada la aplicación, se le solicitan distintos permisos al usuario. Entre ellos, de accesibilidad, para saber dónde estás tocando en la pantalla y poder controlarla; así como de acceso a los SMS y llamadas.

Y es que, a través de un módulo keylogger, los ciberdelincuentes pueden capturar todo lo que el usuario toca en la pantalla, incluido el teclado. Esto les permite robar claves de acceso, salvo si el usuario accede mediante la huella dactilar o el reconocimiento facial.

Concedidos estos permisos, ya no hay vuelta atrás. Los ciberdelincuentes pueden monitorizar el acceso tanto a la aplicación de BBVA como al de otras aplicaciones bancarias. Revive sigue ejecutándose en segundo plano registrando todo lo que escribe el usuario y enviándolo a un servidor de los ciberdelincuentes.

Esto les abre las puertas para realizar ataques de phishing a través de páginas clonadas simulando ser la entidad bancaria y robar así las credenciales de acceso. Asimismo, al haber otorgado permisos, pueden interceptar todos los SMS en el dispositivo infectado.

Cuando se descarga el malware, Revive intenta acceder a la función del Servicio de Accesibilidad a través de una ventana emergente para monitorizar y robar información del dispositivo.

Revive malware bancario BBVA SMS Cleafy ciberseguridad noticia bit life media
Fuente: Cleafy

Según el análisis de código de Cleafy, parece que sus autores se inspiraron en Teradroid, el spyware de Android cuyo código está disponible públicamente en GitHub.

Los dos comparten amplias similitudes en la API, el marco web y las funciones. No obstante, Revive utiliza un panel de control personalizado para recopilar credenciales e interceptar mensajes SMS. El resultado es una aplicación que apenas es detectada por ningún proveedor de seguridad

Medidas de protección contra el malware bancario

Ante la oleada de mensajes SMS fraudulentos que están recibiendo los clientes del BBVA, desde la OSI, la Oficina de Seguridad del Internauta, han publicado una serie de pautas a seguir en caso de haber sido infectado al descargar la aplicación.

En primer lugar, es importante eliminar la aplicación del dispositivo y escanearlo con un antivirus actualizado.

En el caso de haber recibido el SMS pero no haber descargado la aplicación maliciosa, basta con eliminar el mensaje. No obstante, nunca está de más revisar bien el teléfono y ver si se ha descargado algún archivo con el nombre ‘BBVA2FA.apk’, o similar. Si es así, es importante borrarlo de inmediato.

Para hacer esta comprobación, hay que revisar el gestor de archivos del teléfono móvil que suele estar en una carpeta con el nombre ‘Archivos’ o ‘Gestor de ficheros’ o ‘Documentos’, u otro nombre similar. Normalmente está ubicada en la pantalla principal o en los distintos aplicativos de herramientas del móvil.

Asimismo, también es importante, en el caso de estar infectado, avisar a los contactos de la agenda del móvil ya que el malware podría enviarles SMS fraudulentos para captar nuevas víctimas.

En el caso de que no sea posible eliminar la aplicación del dispositivo o el archivo malicioso, es aconsejable restaurar el dispositivo a valores de fábrica.

No obstante, para este y otros casos, es recomendable inhabilitar la opción de ‘instalación de aplicaciones de orígenes desconocidos’ disponible en los ajustes del dispositivo.

Si bien esto contribuirá a minimizar riesgos, también lo harán otras prácticas a tener en cuenta como la realización de copias de seguridad de los dispositivos de forma periódica, o tener los dispositivos actualizados y protegidos con un antivirus.

 

 

DEJA UNA RESPUESTA

Por favor, introduce tu comentario
Por favor, introduce tu nombre

cuatro × uno =