日前，一款名為“Revive”的新型安卓銀行惡意軟件被發現，它模仿的是一款登錄西班牙對外銀行(BBVA)銀行賬戶所需的2FA應用程序。該新型銀行木馬采用了一種更集中的方法針對西班牙對外銀行(BBVA)，而不是試圖危害多個金融機構的客戶。雖然目前Revive還處于早期開發階段，但它已經具備攔截雙重身份驗證 (2FA) 代碼和一次性密碼等高級功能。

Revive是由Cleafy的研究人員發現的，并以該惡意軟件使用的一個同名功能命名，該功能被終止后會自動重啟。根據研究人員的說法，新的惡意軟件通過網絡釣魚攻擊誘導用戶下載一個應用程序，該應用程序是升級銀行賬戶安全所需的2FA工具。該網絡釣魚攻擊會通過欺騙用戶嵌入到實際銀行應用程序中的2FA功能不再滿足安全級別要求，用戶需要安裝此附加工具來升級其銀行安全性。

這款應用程序位于一個專門的網站上，網站上不僅展示了該應用程序專業的外觀，甚至還有一個視頻教程，指導受害者下載和安裝它的過程。當用戶安裝后，Revive請求使用輔助功能服務的權限，這基本上使它可以完全控制屏幕并能夠執行屏幕點擊和導航操作。當用戶第一次啟動應用程序時，他們被要求授予它訪問短信和電話的權限，這對2FA應用程序來說可能看起來很正常。然后憑據會被發送給威脅參與者的C2，然后加載一個通用主頁，其中包含指向目標銀行真實網站的鏈接。之后，Revive繼續作為一個簡單的鍵盤記錄器在后臺運行，記錄用戶在設備上鍵入的所有內容，并定期將其發送到C2。

在對Cleafy的代碼分析中，作者也受到了Teradroid的啟發，這是一款 Android 間諜軟件，其代碼可在GitHub上公開獲得。這兩者在API、Web框架和功能上有廣泛的相似之處。Revive使用自定義控制面板來收集憑據并攔截SMS消息。可以說該惡意軟件是一款幾乎不會被任何安全供應商檢測到的應用程序。例如，Cleafy在VirusTotal上的測試在一個樣本上返回了4個檢測結果，而在后來的變體上則沒有。也很可能是小范圍的目標定位、短期的活動和本地化的行動沒有給安全供應商很多機會來記錄這些威脅，并設置識別參數，以便他們可以潛伏更長的時間。

參考來源：https://www.bleepingcomputer.com/news/security/android-malware-revive-impersonates-bbva-bank-s-2fa-app/