Новый Android-троян ворует учетки и 2FA-коды банка BBVA в Испании

Татьяна Никитина 28 Июня 2022 - 21:20

...

Новый Android-троян ворует учетки и 2FA-коды банка BBVA в Испании

В дикой природе обнаружен неизвестный ранее банковский троян для Android, ориентированный на клиентуру поставщика финансовых услуг BBVA. Вредонос, которого в ИБ-компании Cleafy нарекли Revive (из-за способности к перезапуску после останова), пока находится в стадии разработки и раздается только жителям Испании.

Первые атаки Revive эксперты зафиксировали 15 июня. Зловред распространяется с поддельных сайтов BBVA (bbva.appsecureguide[.]com и bbva.european2fa[.]com) под видом программы для двухфакторной аутентификации (2FA).

Посетителя уверяют, что встроенный в банковский клиент механизм 2FA перестал удовлетворять требованиям безопасности, поэтому банк якобы создал дополнительное приложение. Чтобы повысить вероятность успеха, злоумышленники вставили на сайты видеоролик с подсказками по установке APK и выдаче разрешений.

Проведенный итальянцами анализ вредоносного кода показал сходство с opensource-шпионом Teardroid; создатели Revive придали ему новые механизмы, приспособив для своих нужд. От других аналогов новоявленного банкера отличает узкая специализация: его поддельные страницы заточены только под один банк, BBVA.

В настоящее время Revive способен выполнять три основные задачи:

регистрировать пользовательский ввод с помощью модуля-кейлоггера;
воровать учетные данные, используя оверлеи;
вести перехват входящих СМС-сообщений, в том числе с одноразовыми паролями и кодами 2FA, которые высылает банк.

В обеспечение этих функций зловред, как и многие собратья, запрашивает доступ к спецвозможностям Android — Accessibility Service. Из-за частых злоупотреблений Google решила ограничить доступ к Accessibility API приложениям из неофициальных источников; блокировка должна появиться с выпуском Android 13 (сейчас проходит бета-тестирование). С той же целью в этом году для программ в Google Play был введен запрет на использование Accessibility для записи телефонных звонков.

Получив разрешение на доступ к СМС и звонкам, Revive продолжает работать в фоновом режиме как простой кейлоггер — фиксирует все, что жертва вводит на экране, и периодически отсылает улов на C2. Когда пользователь входит в мобильный банк BBVA, вредонос накладывает поверх окна фишинговую страницу и крадет учетные данные, а потом отображает безликую страницу регистрации с другими ссылками — для перенаправления жертвы на легитимный сайт банка.

Из-за узкой специализации и ограниченной географии новобранец пока плохо детектируется антивирусами. Сегодня днем, 28 июня, VirusTotal показал 8/59 и 8/61 для двух образцов, раздобытых Cleafy.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Ноября 2025 - 12:26

Малый и средний бизнес Корпорации Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности Security Awareness Консалтинг по информационной безопасности Инфосистемы Джет

Компании делают ставку на обучение кибербезопасности: рост спроса на 20%

Компания «Инфосистемы Джет» проанализировала запросы более 270 крупных компаний и выяснила: интерес к корпоративному обучению в области кибербезопасности не просто сохраняется, а растёт. За первое полугодие 2025 года число запросов на программы по повышению осведомлённости сотрудников увеличилось на 20%, а интерес к киберучениям остался на стабильно высоком уровне.

Если раньше компании заказывали в основном «точечные» курсы для ИБ-специалистов, то теперь приоритет смещается к массовому обучению всего штата.

В 2022 году программы по киберграмотности составляли лишь 15% запросов, в 2024-м — уже 37%, а в первой половине 2025-го доля выросла до 58% и продолжает увеличиваться.

Эксперты связывают этот рост с рядом факторов:

увеличением числа инцидентов из-за человеческого фактора — фишинга, ошибок и социальной инженерии;
и новыми нормативными требованиями, включая приказ ФСТЭК № 117, вступивший в силу в апреле 2025 года.

Топ-менеджеры всё чаще понимают, что кибербезопасность — это не только технологии, но и часть корпоративной культуры. Каждый сотрудник должен осознавать личную ответственность за защиту данных.

Если раньше обучение проходило «для галочки», теперь компании ищут действительно эффективные форматы. Растёт интерес к очным занятиям — живое общение и обсуждение помогают вовлечь людей лучше, чем просто онлайн-курс. Обучение становится массовым и персонализированным: внимание уделяется всем сотрудникам, а не только тем, кто работает с чувствительными данными.

«Сегодня обучение кибербезопасности — это уже не формальность, а необходимая мера. Компании вынуждены подходить к нему системно, разделяя программы по уровням — от базовой кибергигиены до комплексных курсов для ИБ-команд. Особенно ценится контент, основанный на реальных инцидентах и адаптированный под конкретные защитные средства компании», — отмечает Кира Шиянова, менеджер продукта платформы Jet CyberCamp компании «Инфосистемы Джет».

На рынке формируется чёткое разделение:

зрелые компании проводят киберучения и развивают awareness-программы своими силами;
организации поменьше чаще обращаются к внешним подрядчикам или используют готовые решения.

При этом заказчики всё чаще требуют доказуемой эффективности обучения — не просто отчётов, а реальных метрик, показывающих снижение рисков. Это подталкивает рынок к росту аутсорсинговых сервисов и комплексных решений, где обучение становится частью общей стратегии кибербезопасности.

Напомним, вчера мы сообщали, что рынок корпоративного ИБ-образования в России вырос до 3 млрд рублей.