Revive

Malware perbankan Android baru bernama Revive telah ditemukan yang meniru aplikasi 2FA yang diperlukan untuk masuk ke rekening bank BBVA di Spanyol.

Trojan perbankan baru mengikuti pendekatan yang lebih terfokus yang menargetkan bank BBVA alih-alih mencoba berkompromi dengan pelanggan dari berbagai lembaga keuangan.

Sementara Revive berada dalam fase pengembangan awal, Revive sudah mampu melakukan fungsi lanjutan seperti mencegat kode otentikasi dua faktor (2FA) dan kata sandi satu kali.

Para peneliti di Cleafy menemukan Revive dan menamakannya berdasarkan fungsi dengan nama yang sama yang digunakan oleh malware untuk memulai ulang dirinya sendiri jika dihentikan.

Menurut analis Cleafy, malware baru menargetkan calon korban melalui serangan phishing, meyakinkan mereka untuk mengunduh aplikasi yang seharusnya merupakan alat 2FA yang diperlukan untuk meningkatkan keamanan rekening bank.

Serangan phishing ini mengklaim fungsionalitas 2FA yang disematkan ke dalam aplikasi bank yang sebenarnya tidak lagi memenuhi persyaratan tingkat keamanan, sehingga pengguna perlu menginstal alat tambahan ini untuk meningkatkan keamanan perbankan mereka.

Pesan phishing dikirim ke nasabah bank (Cleafy)

Aplikasi ini di-host di situs web khusus yang menampilkan tampilan profesional dan bahkan memiliki tutorial video untuk memandu korban melalui proses pengunduhan dan pemasangannya.

Setelah instalasi, Revive meminta izin untuk menggunakan Layanan Aksesibilitas, yang pada dasarnya memberikan kontrol penuh atas layar dan kemampuan untuk melakukan ketukan layar dan tindakan navigasi.

Saat pengguna meluncurkan aplikasi untuk pertama kalinya, mereka diminta untuk memberikan akses ke SMS dan panggilan telepon, yang mungkin tampak normal untuk utilitas 2FA.

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Melakukannya akan mengirimkan kredensial ke C2 pelaku ancaman, dan kemudian beranda umum dengan tautan ke situs web sebenarnya dari bank yang ditargetkan akan dimuat.

Proses mencuri kredensial pengguna (Cleafy)

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Berdasarkan analisis kode malware baru Cleafy, tampaknya pembuatnya terinspirasi oleh Teradroid, spyware Android yang kodenya tersedia untuk umum di GitHub.

Perbandingan kode antara dua malware (Cleafy)

Keduanya memiliki kesamaan yang luas dalam API, kerangka kerja web, dan fungsi. Revive menggunakan panel kontrol khusus untuk mengumpulkan kredensial dan mencegat pesan SMS.

Hasilnya adalah aplikasi yang hampir tidak terdeteksi oleh vendor keamanan mana pun. Misalnya, pengujian Cleafy pada VirusTotal mengembalikan empat deteksi pada satu sampel dan tidak satu pun pada varian berikutnya.

Sumber: Bleeping Computer

Peretas telah menyusupi lebih dari 120 server iklan selama setahun terakhir dalam kampanye yang sedang berlangsung yang menampilkan iklan berbahaya di puluhan juta, mungkin ratusan juta, perangkat saat mereka mengunjungi situs yang, menurut penampilan luar, tidak berbahaya.

Malvertising adalah praktik menayangkan iklan kepada orang-orang saat mereka mengunjungi situs web tepercaya. Iklan tersebut menyematkan JavaScript yang secara diam-diam mengeksploitasi kekurangan perangkat lunak atau mencoba mengelabui pengunjung agar memasang aplikasi yang tidak aman, membayar biaya dukungan komputer yang curang, atau melakukan tindakan berbahaya lainnya.

Menyusupi ekosistem iklan dengan menyamar sebagai pembeli yang sah membutuhkan sumber daya. Pertama, scammer harus menginvestasikan waktu untuk mempelajari cara kerja pasar dan kemudian menciptakan entitas yang memiliki reputasi yang dapat dipercaya.

Pendekatan ini juga membutuhkan pembayaran uang untuk membeli ruang untuk menjalankan iklan berbahaya. Itu bukan teknik yang digunakan oleh grup periklanan berbahaya yang oleh perusahaan keamanan Confiant disebut sebagai Tag Barnakle.

“Tag Barnakle, di sisi lain, mampu melewati rintangan awal ini sepenuhnya dengan langsung menuju jugular — kompromi massal infrastruktur penayangan iklan,” tulis peneliti Confiant Eliya Stein dalam posting blog yang diterbitkan Senin.

Selama setahun terakhir, Tag Barnakle telah menginfeksi lebih dari 120 server yang menjalankan Revive, aplikasi sumber terbuka untuk organisasi yang ingin menjalankan server iklannya sendiri daripada mengandalkan layanan pihak ketiga. Jumlah 120 itu dua kali lipat dari jumlah server yang terinfeksi Revive Confiant yang ditemukan tahun lalu.

Setelah meretas server iklan, Tag Barnakle memuat muatan berbahaya di dalamnya. Untuk menghindari deteksi, grup tersebut menggunakan sidik jari sisi klien untuk memastikan hanya sejumlah kecil target paling menarik yang menerima iklan berbahaya. Server yang mengirimkan muatan sekunder ke target tersebut juga menggunakan teknik penyelubungan untuk memastikan bahwa mereka juga terbang di bawah radar.

Selengkapnya: Ars Technica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware Android ‘Revive’ meniru aplikasi 2FA bank BBVA

Jutaan penjelajah web menjadi sasaran satu grup malvertising

Revive

Cookies Settings