تم اكتشاف حصان طروادة مصرفي يعمل بنظام Android غير معروف سابقًا، ويستهدف مستخدمي شركة الخدمات المالية الإسبانية BBVA.
يُقال إن البرنامج الضار الذي أطلق عليه اسم Revive من قبل شركة الأمن السيبراني الإيطالية Cleafy، إنه في مراحله الأولى من التطوير، تمت ملاحظته لأول مرة في 15 يونيو 2022 وتم توزيعه عن طريق حملات التصيد الاحتيالي.
"تم اختيار اسم Revive نظرًا لأن إحدى وظائف البرنامج الضار (التي يطلق عليها [الجهات المهددة threat actors] على وجه التحديد" Revive") يتم إعادة تشغيلها في حالة توقف البرنامج الضار عن العمل.
متاح للتنزيل من صفحات التصيد الاحتيالي ("bbva.appsecureguide [.] com" أو "bbva.european2fa [.] com") كإغراء لخداع المستخدمين لتنزيل التطبيق، ينتحل البرنامج الضار صفة المصادقة الثنائية للبنك (2FA ) ويقال إنه مستوحى من برامج تجسس مفتوحة المصدر تسمى Teardroid، حيث قام المؤلفون بتعديل شفرة المصدر الأصلية لدمج ميزات جديدة.
على عكس البرامج الضارة المصرفية الأخرى المعروف أنها تستهدف مجموعة واسعة من التطبيقات المالية، تم تصميم Revive لهدف محدد، في هذه الحالة، بنك BBVA. ومع ذلك، لا يختلف الأمر عن نظرائه من حيث أنه يستفيد من واجهة برمجة تطبيقات خدمات الوصول في Android لتلبية أهدافه.
تم تصميم Revive بشكل أساسي للحصول على بيانات اعتماد تسجيل الدخول الخاصة بالبنك من خلال استخدام صفحات مشابهة وتسهيل هجمات الاستيلاء على الحساب. كما أنه يشتمل على وحدة keylogger لالتقاط ضغطات المفاتيح والقدرة على اعتراض رسائل SMS المستلمة على الأجهزة المصابة، وبشكل أساسي كلمات المرور لمرة واحدة ورموز 2FA التي يرسلها البنك.
وقال الباحثون: "عندما تفتح الضحية التطبيق الخبيث لأول مرة، تطلب Revive قبول إذنين متعلقين بالرسائل القصيرة والمكالمات الهاتفية". "بعد ذلك، تظهر صفحة استنساخ (للبنك المستهدف) للمستخدم وإذا تم إدخال بيانات اعتماد تسجيل الدخول ، يتم إرسالها إلى [خادم الأوامر والتحكم command-and-control server] الخاص بـ TAs."
تؤكد النتائج مرة أخرى على الحاجة إلى توخي الحذر عندما يتعلق الأمر بتنزيل التطبيقات من مصادر خارجية غير موثوق بها. لم تمر إساءة استخدام التحميل الجانبي دون أن يلاحظها أحد من قبل Google، التي طبقت ميزة جديدة في Android 13 تمنع مثل هذه التطبيقات من استخدام واجهات برمجة تطبيقات الوصول.
ليست هناك تعليقات:
إرسال تعليق