Revive; un malware que ataca la app de BBVA España para robar tus datos de acceso y vaciar tus cuentas

Este 28 de junio, la empresa de ciberseguridad Cleafy Labs logró descubrir un nuevo virus bancario, esta vez es denominado ‘Revive’ que se hace pasar por una aplicación 2FA en los dispositivos Android por lo que sería necesaria para que los usuarios puedan iniciar sesión en la banca online, específicamente en BBVA en España.

No es la primera vez que los ciberdelincuentes tratan de vulnerar un sistema de banca privada, de hecho, esto se ha convertido en algo común. Esta vez lo han intentado hacer desde un tipo de app que es muy utilizada en estos entornos y que promueven mayor seguridad para los clientes. Lo diferente en esta ocasión es que se ha tratado de un ataque específico para esta entidad bancaria y solo para clientes españoles.

Un malware ataca la app de BBVA y roba información de sus usuarios

Las últimas semanas los sistemas bancarios online han recibido varios ataques de malware para Android, por lo que parece ser una nueva modalidad de robo por parte de los delincuentes. Uno de los virus lanzados hace algunos días fue ‘BRATA’, el cual se encargaba de vaciar la cuenta de los usuarios que lo recibían. Otro de ellos fue ‘SMSFactory’, un troyano que aumentaba tu factura de teléfono para que al momento de pagar lo hicieran a una cuenta falsa y por un monto muy alto.

El último en aparecer es llamado ‘Revive’ y ha sido destinado a los usuarios del banco BBVA España, por lo que tiene bastante claro sus objetivos. En este caso el malware se hace pasar por una aplicación de autenticación de dos pasos que los usuarios deben utilizar para iniciar sesión en la banca online.

⚠️ Cleafy TIR team just discovered Revive, a new Android banking trojan targeting Spanish citizens.

Our latest report: https://t.co/zGSVaprDjB#revive #android #banking #trojan #cleafy pic.twitter.com/mSId9DCE0e

— Cleafy LABS (@cleafylabs) June 27, 2022

Para ello Revive ofrece una plataforma idéntica a la del banco para que los usuarios la descarguen e inicien sesión en ella, por lo que una vez descargada y se le otorguen todos los permisos, la app tomara el control de la pantalla y podrá registrar todos los movimientos de los usuarios, los cuales serán enviados de inmediato al ciberdelincuente.

Por lo tanto, la aplicación tomará el usuario, la contraseña y las demás claves bancarias solicitadas y se las enviará al hacker, quien tomará todos estos datos para acceder a la cuenta real de la persona y cometer el acto delictivo, en este caso robar el dinero que tenga allí el cliente. Pero Revive no sólo parece conformarse con los datos de BBVA, sino que también hackea las cuentas de PayPal, Amazon y cualquier otro monedero digital que tengas en tu smartphone.

De acuerdo con los expertos informáticos, este tipo de virus es capaz de reiniciarse por sí solo en caso que lo cierren, por lo que una vez se haya activado en tu smartphone no lo podrás eliminar al menos que se formatee el dispositivo. También se ha hecho conocer que, es capaz de descifrar contraseña de un solo uso, por lo que es muy peligroso.

¿Es el mismo malware que atacó en LATAM?

Por el modo en el que opera este virus descubierto en el BBVA España, se ha podido relacionar con el malware Symbiote que atacó los sistemas financieros de LATAM el pasado 9 de junio por medio del sistema operativo Linux, el cual era casi indetectable.

Si bien es cierto que estos dos ataques son distintos y no tienen relación alguna, pero su modo de funcionamiento es muy similar. En este caso el malware Symbiote que atacó los sistemas bancarios como Banco do Brasil y Caixa Bank se ejecutaba de una manera que lo hacía casi imposible de descubrir. Una vez que ingresaba al banco este se ocultaba de inmediato, por lo que aplicaba una técnica de escaneo que permitía copiar los movimientos de los usuarios.

El objetivo principal de este ataque era robar las credenciales del ordenador de la persona para después acceder con facilidad. Es así, cómo se encargaba de instalar un backdoor, que permite a los operadores a larga distancia ingresar como cualquier otro usuario y tener todos los privilegios de administrador gracias a una contraseña cifrada.

Lo siguiente era utilizar un BPF para ocultar las comunicaciones y tráficos de la red de los equipos infectados, lo que permitía que detectarlo fuera casi imposible detectarlo. De manera que, Symbiote robaba los datos de acceso de los sistemas financieros de LATAM para después acceder allí y cometer el robo, algo muy similar a lo que se ha realizado con Revive.

Este último, ofrece una interfaz muy real y similar a la original, les indica a sus clientes que la app oficial ya no es segura y además brinda una autenticación de 2 pasos para dar mayor seguridad y te envía un mensaje haciéndose pasar por banco. Con todo esto, es imposible pensar que se trata de algo falso, por lo que descubrirlo es muy difícil de conseguir.

Tras este descubrimiento, las autoridades correspondientes han activado los sistemas de alerta, al considerar que, es muy posible que estos delincuentes cibernéticos intenten nuevos ataques, esta vez ha sido uno dirigido a una sola institución bancaria, lo que ha llamado mucho la atención. Sobre todo, porque Cleafy Labs ha indicado que está en fase de desarrollo, por lo que puede convertirse en un gran problema más adelante.