Pesquisadores da empresa antifraude italiana Cleafy identificaram um novo trojan bancário no início deste mês. Chamado de Revive, em função de sua capacidade de reinicialização automática, o código do vírus é inspirado parcialmente em um spyware de código aberto chamado Teardroid.

Disponível no GitHub, o Teardroid, assim como o Revive, possui ferramentas baseadas em FastAPI, um framework Web (modelo de dados) para desenvolver APIs em linguagem de programação Python. Seções de códigos também são semelhantes, segundo a empresa, mas os propósitos são distintos: o Revive mira operações bancárias, enquanto o Teardroid foca em ataques no sistema operacional Android, do Google.

Leia mais:

De acordo com a Cleafy, a Espanha é o principal alvo do Revive, por meio de campanhas de phishing contra clientes de um banco nacional topo de linha (ainda não identificado). A metodologia dos ataques é semelhante a outros trojans bancários — o malware explora serviços de acessibilidade para executar atividades de keylogging e interceptar mensagens SMS.

publicidade

Segundo a empresa, o trojan bancário é entregue por meio de uma página de phishing e se esconde atrás de um aplicativo de autenticação em dois fatores do banco visado. A partir daí, as credenciais do usuário — caso ele seja vítima do golpe — são enviadas para a infraestrutura de comando e controle dos atacantes. Por SMS ou um falso telefonema bancário, também são encaminhados dados relativas a códigos de senha de uso único ou autenticação em duas etapas.

A operação do trojan encerra com o redirecionamento das vítimas para uma página inicial genérica que elenca links para um site oficial do banco.

Como funciona o trojan bancário Revive
Como funciona o trojan bancário Revive (Reprodução/Cleafy)

Baixa taxa de detecção

Por ser recente, o código do Revive possui uma baixa taxa de detecção por softwares de antivírus, segundo a Cleafy. No entanto, os agentes do trojan bancário o modificaram para executar ataques de controle de contas (ATOs).

A descoberta do Revive ocorre dias após a empresa italiana atualizar a classificação do grupo de malwares Brata Android para APT (ameaça persistente avançada). APTs são ataques com alto nível de complexidade que costumam ter como alvo sistemas de grandes empresas.

Crédito da imagem principal: Pablo Lagarto/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!