iT News (Android) – Les chercheurs de Cleafy ont baptisé ce nouveau trojan bancaire “Revive”. Le malware a été détecté pour la première fois sur des smartphones Android en Espagne autour du 15 juin 2022. On est donc sur une menace émergente, avec la possibilité que le malware se propage rapidement hors des frontières espagnoles. Revive est pour l’heure distribué via des campagnes de Phishing.
Le malware Revive tire son nom de l’une de ses fonctionnalités les plus redoutables. Si l’utilisateur parvient à rendre le malware inopérant ou que celui-ci cesse de fonctionner à cause d’un bug, les pirates peuvent facilement relancer le programme, leur permettant de rendre l’intrusion plus persistante. Pour l’instant, Revive vise exclusivement les clients de la banque BBVA.
Comment éviter de tomber dans le piège de Revive, nouveau malware bancaire Android
Concrètement les victimes reçoivent des mails, SMS ou messages par WhatsApp indiquant que leur banque (ici, BBVA) propose une nouvelle application. Les liens de téléchargement sont rattachés aux noms de domaines “bbva.appsecureguide.com” ou “bbva.european2fa.com” avec visiblement dans les deux cas pour objectif de mettre la victime en confiance. Une fois le logiciel téléchargé depuis une source hors du Play Store, le programme s’installe.
Il demande alors une série d’autorisations autour des fonctionnalités d’accessibilité. C’est à ce moment là que l’utilisateur doit absolument refuser l’installation : l’application demande en effet entre autres de pouvoir observer et contrôler l’écran, ainsi que de pouvoir observer et réaliser des actions. Ce qui permet au malware de placer une sorte de overlay entre l’interface tactile et toutes les applications du smartphone. De là, en plus des données bancaires sensibles issues de BBVA, les pirates peuvent extraire à l’envi données et mots de passe d’autres comptes.
Dans le détail, Revive semble un fork du malware Teardrop auquel les pirates ont ajouté des fonctionnalités. En plus de l’overlay, le trojan peut capturer la frappe, et intercepter les messages SMS afin de récupérer les codes d’authentification double facteur. Les chercheurs expliquent : “lorsque la victime ouvre l’application maligne pour la première fois, Revive demande à l’utilisateur d’accepter deux permissions en lien avec les SMS et les appels. Après cela, un clone de la page de connexion de la banque ciblée apparait, et si l’utilisateur entre ses identifiants, ils sont transmis au serveur de contrôle”.
Pour éviter de se faire piéger par ce nouveau malware, la meilleure solution est de ne jamais prendre sérieusement un message vous demandant de télécharger une application par d’autre biais que le Play Store. En effet, les applications bancaires, toutes très sécurisées, sont nécessairement sur les magasins d’applications. Toute mise à jour ou nouvelle version est à chaque fois délivrée par ce biais, et uniquement par ce dernier. Les applications téléchargées depuis des sites tiers ne font l’objet d’aucun contrôle et sont donc susceptibles de contenir des malware.