Revive：从间谍软件进化成银行木马

2022 年 6 月，Cleafy 研究人员发现了一个新的安卓银行木马 Revive。之所以选择 Revive
这个名称，是因为恶意软件为防止停止工作启用的一项功能名为 revive。

Revive 属于持续潜伏的那一类恶意软件，因为它是为特定目标开发和定制的。这种类型的恶意软件与其他 Android 银行木马各有异同，例如 TeaBot
或 SharkBot 它们都能够同时通过模块化架构攻击安装在受感染设备上的多个银行/加密应用程序。

Revive 的攻击方法与其他银行木马也是相似的，它仍然滥用 Accessibility Services
来执行键盘记录并拦截受害者的短信。这些功能就足以执行帐户接管攻击（ATO），因为此时恶意软件即可获得登录凭据和银行通过短信发送的双因子认证。

到目前为止，发现的两个 Revive 样本的杀软检出率都非常低。如图所示，第二个样本的检出率甚至为零。

样本检出情况

技术分析

钓鱼网站

与其他银行木马类似，Revive 也使用不同的社会工程学技巧伪装成合法应用程序，误导受害者。Revive
的恶意样本也是通过钓鱼网站进行投递的，隐藏在目标银行的新版双因子验证应用程序之后。

受害者下载了恶意软件，Revive 尝试通过弹出窗口获取辅助服务功能，用于监视和窃取受害者设备的信息。

Revive
安装

受害者首次打开恶意软件时，Revive 要求提供短信与电话相关的两项权限。之后一个假冒的银行页面就会展示给受害者，如下所示。受害者输入凭据后，会被发送到
C&C 服务器中，之后恶意软件会将受害者重定向到合法网站。

凭据回传

Revive 的开发人员应该是从开源在 GitHub 上的名为 Teardroid 的窃密恶意软件修改而来，因为二者之间的程序与 C&C
的基础架构存在很多相似性。

开源
Teadroid 项目

Teardroid 是拥有很多功能的窃密恶意软件，而 Revive 删除了 Teadroid 的一些功能，并在为其添加了新功能，转向了银行木马的功能。

Teadroid
和 Revive 比较

其 C&C 基础设施基于 FastAPI，这是一个 Python 的 RESTful API 的开发框架。除此之外，攻击者还定制了 Teadroid
的控制面板，支持银行木马的对应功能。

下图显示了在调查分析时发现的一些相似之处：

C&C
相似性

银行木马 Revive 主要具备三个能力：

窃取登录凭据。通过滥用辅助服务，可以向用户显示虚假页面并记录键盘击键。

拦截受感染设备收到的所有短信，目的是获取通过短信发送给用户的双因子认证。

获取用户在设备上写入的所有内容（例如凭据、消息、电话号码等，如下所示）。这些信息保存在本地数据库中并发送回 C&C 服务器。

窃密信息回传

键盘记录

结论

现在已经有很多流行的 Android 银行木马，如 SharkBot、TeaBot 或
Oscorp/UBEL，这些恶意软件都具备很多功能、相对复杂。Revive
似乎是小型定制攻击行动，这可能更加难以拦截。这些恶意软件很多都是全新的，安全产品难以检测，而且攻击只会存在数天。研究人员尚不清楚 Revive
未来会如何演进，毕竟该恶意软件还处于早期阶段，攻击者仍能够通过各种方式对其进行改进。

IOC

4240473028f88a3ef54f86f1cd387f24
cf704e63652c23c2d609e9a01659511c
80.85.153.49
bbva.appsecureguide.com
bbva.european2fa.com

最后

分享一个快速学习【网络安全】的方法，「也许是」最全面的学习方法：
1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k。

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

想要入坑黑客&网络安全的朋友，给大家准备了一份：282G全网最全的网络安全资料包免费领取！
扫下方二维码，免费领取

有了这些基础，如果你要深入学习，可以参考下方这个超详细学习路线图，按照这个路线学习，完全够支撑你成为一名优秀的中高级网络安全工程师：

高清学习路线图或XMIND文件（点击下载原文件）

还有一些学习中收集的视频、文档资源，有需要的可以自取：
每个成长路线对应板块的配套视频：


当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

因篇幅有限，仅展示部分资料，需要的可以【扫下方二维码免费领取】