日前，一款名為“Revive”的新型安卓銀行惡意軟件被發(fā)現(xiàn)，它模仿的是一款登錄西班牙對外銀行(BBVA)銀行賬戶所需的2FA應(yīng)用程序。該新型銀行木馬采用了一種更集中的方法針對西班牙對外銀行(BBVA)，而不是試圖危害多個金融機構(gòu)的客戶。雖然目前Revive還處于早期開發(fā)階段，但它已經(jīng)具備攔截雙重身份驗證 (2FA) 代碼和一次性密碼等高級功能。

Revive是由Cleafy的研究人員發(fā)現(xiàn)的，并以該惡意軟件使用的一個同名功能命名，該功能被終止后會自動重啟。根據(jù)研究人員的說法，新的惡意軟件通過網(wǎng)絡(luò)釣魚攻擊誘導(dǎo)用戶下載一個應(yīng)用程序，該應(yīng)用程序是升級銀行賬戶安全所需的2FA工具。該網(wǎng)絡(luò)釣魚攻擊會通過欺騙用戶嵌入到實際銀行應(yīng)用程序中的2FA功能不再滿足安全級別要求，用戶需要安裝此附加工具來升級其銀行安全性。

這款應(yīng)用程序位于一個專門的網(wǎng)站上，網(wǎng)站上不僅展示了該應(yīng)用程序?qū)I(yè)的外觀，甚至還有一個視頻教程，指導(dǎo)受害者下載和安裝它的過程。當(dāng)用戶安裝后，Revive請求使用輔助功能服務(wù)的權(quán)限，這基本上使它可以完全控制屏幕并能夠執(zhí)行屏幕點擊和導(dǎo)航操作。當(dāng)用戶第一次啟動應(yīng)用程序時，他們被要求授予它訪問短信和電話的權(quán)限，這對2FA應(yīng)用程序來說可能看起來很正常。然后憑據(jù)會被發(fā)送給威脅參與者的C2，然后加載一個通用主頁，其中包含指向目標(biāo)銀行真實網(wǎng)站的鏈接。之后，Revive繼續(xù)作為一個簡單的鍵盤記錄器在后臺運行，記錄用戶在設(shè)備上鍵入的所有內(nèi)容，并定期將其發(fā)送到C2。

在對Cleafy的代碼分析中，作者也受到了Teradroid的啟發(fā)，這是一款 Android 間諜軟件，其代碼可在GitHub上公開獲得。這兩者在API、Web框架和功能上有廣泛的相似之處。Revive使用自定義控制面板來收集憑據(jù)并攔截SMS消息?？梢哉f該惡意軟件是一款幾乎不會被任何安全供應(yīng)商檢測到的應(yīng)用程序。例如，Cleafy在VirusTotal上的測試在一個樣本上返回了4個檢測結(jié)果，而在后來的變體上則沒有。也很可能是小范圍的目標(biāo)定位、短期的活動和本地化的行動沒有給安全供應(yīng)商很多機會來記錄這些威脅，并設(shè)置識別參數(shù)，以便他們可以潛伏更長的時間。

參考來源：https://www.bleepingcomputer.com/news/security/android-malware-revive-impersonates-bbva-bank-s-2fa-app/