Campaña de distribución del troyano bancario Revive

Fecha de publicación
28/06/2022
Importancia
4 - Alta
Recursos Afectados
  • Cualquier usuario con dispositivo móvil Android que haya descargado la falsa aplicación 2FA del banco BBVA.
Descripción

Los investigadores del equipo Cleafy TIR han descubierto un troyano de la familia de malware persistente desarrollado para un objetivo específico, la entidad financiera BBVA. Lo han llamado Revive y llega a los dispositivos a través de SMS. Al descargarlo toma el control del dispositivo del usuario. El nombre de Revive hace referencia a que una de sus funcionalidades consiste en el reinicio en caso de que el malware deje de funcionar.

Esta campaña de malware está en su desarrollo inicial por lo que la tasa de detección de los antivirus es aún muy baja.

Solución

Si recibes un SMS o cualquier notificación con estas características, omítelo o elimínalo, nunca sigas el enlace ni descargues ninguna aplicación.

Como pautas generales, para evitar ser víctima de fraudes de este tipo:

  • No abrir enlaces en mensajes SMS de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • No contestar en ningún caso a estos SMS.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, mensajes en aplicaciones de mensajería o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y las aplicaciones.
  • Revisa la URL de la página web. Si no contiene un certificado de seguridad o no corresponde con el sitio web, nunca facilites ningún tipo de información personal o bancaria.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Línea de ayuda en ciberseguridad.

Además, para prevenir y reforzar estos consejos, es importante que realices acciones de concienciación en ciberseguridad entre los empleados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detalle

Logo Android

El usuario de banca electrónica del BBVA recibe un SMS suplantando al banco en el que, utilizando como pretexto que la app instalada no cumple los requisitos de seguridad de autorización de dos factores (2FA), indica que descargue la app a través del enlace que proporcionan, siguiendo las indicaciones de un video de ayuda. El enlace lleva a una página de phishing que suplanta al banco. Si el usuario sigue las instrucciones instalará la app maliciosa.

No obstante podrían utilizar ingeniería social con cualquier otro motivo para convencer a la víctima, como podría ser una supuesta intrusión en sus cuentas o una supuesta mejora de la app.

Una vez que la víctima descarga el malware, Revive intenta obtener a través de una ventana emergente que el usuario de la app otorgue distintos permisos. Estos permisos posibilitan el seguimiento y el robo de información del dispositivo de la víctima.

Cuando la víctima abre la aplicación maliciosa por primera vez, Revive le pide que acepte dos permisos relacionados con los SMS y las llamadas telefónicas. Después de eso, aparece una página clonada del banco solicitando que el usuario introduzca las credenciales de acceso que se enviarán al servidor de Comando y Control de los ciberdelincuentes. Después de eso, el malware muestra una página de inicio genérica, con diferentes enlaces que redirigen al sitio web del banco legítimo.

Este troyano bancario tiene las siguientes funcionalidades:

  • Capturar todo lo que se escribe en el dispositivo a través de un keylogger.
  • Realizar ataques de phishing en el dispositivo mediante el uso de páginas clonadas, cuyo objetivo es robar las credenciales de acceso bancario.
  • Interceptar todos los SMS recibidos en el dispositivo infectado, normalmente de bancos y entidades financieras en el ámbito de la PSD2 (por ejemplo, códigos de autorización 2FA/OTP).

Línea de ayuda en ciberseguridad 017

Ir arriba