Un cheval de Troie bancaire Android jusqu’alors inconnu a été découvert dans la nature, ciblant les utilisateurs de la société espagnole de services financiers BBVA.
Dit être à ses premiers stades de développement, le malware – surnommé Relancer par la société italienne de cybersécurité Cleafy – a été observé pour la première fois le 15 juin 2022 et distribué au moyen de campagnes de phishing.
« Le nom Revive a été choisi car l’une des fonctionnalités du malware (appelée par le [threat actors] précisément ‘revive’) redémarre au cas où le malware cesserait de fonctionner, les chercheurs de Cleafy Federico Valentini et Francesco Iubatti a dit dans un article du lundi.
Disponible en téléchargement à partir de pages de phishing escrocs (« bbva.appsecureguide[.]com » ou « bbva.european2fa[.]com ») afin d’inciter les utilisateurs à télécharger l’application, le malware se fait passer pour l’application d’authentification à deux facteurs (2FA) de la banque et serait inspiré d’un logiciel espion open source appelé Larmoïdeles auteurs peaufinant le code source d’origine pour incorporer de nouvelles fonctionnalités.
Contrairement à d’autres logiciels malveillants bancaires connus pour cibler un large éventail d’applications financières, Revive est conçu pour une cible spécifique, dans ce cas, la banque BBVA. Cela dit, il n’est pas différent de ses homologues en ce sens qu’il exploite l’API des services d’accessibilité d’Android pour atteindre ses objectifs opérationnels.
Revive est principalement conçu pour récolter les identifiants de connexion de la banque grâce à l’utilisation de pages similaires et faciliter les attaques de prise de contrôle de compte. Il intègre également un module d’enregistreur de frappe pour capturer les frappes et la capacité d’intercepter les messages SMS reçus sur les appareils infectés, principalement les mots de passe à usage unique et les codes 2FA envoyés par la banque.
« Lorsque la victime ouvre l’application malveillante pour la première fois, Revive demande d’accepter deux autorisations liées aux SMS et aux appels téléphoniques », ont déclaré les chercheurs. « Après cela, une page clone (de la banque ciblée) apparaît à l’utilisateur et si les identifiants de connexion sont insérés, ils sont envoyés au [command-and-control server] des TA. »
Les résultats soulignent une fois de plus la nécessité de faire preuve de prudence lorsqu’il s’agit de télécharger des applications à partir de sources tierces non fiables. L’abus de sideloading n’est pas passé inaperçu par Google, qui a implémenté une nouvelle fonctionnalité dans Android 13 qui empêche ces applications d’utiliser les API d’accessibilité.
