Massiv Mobile зловреден софтуер

Анализатори по киберсигурност разкриха сложен троянски кон за Android, известен като Massiv, проектиран да извършва атаки за превземане на устройства (DTO), насочени към финансова кражба. Зловредният софтуер се маскира като легитимни IPTV приложения, насочени към лица, търсещи онлайн телевизионни услуги.

Въпреки че е идентифициран в ограничен брой целенасочени кампании, нивото на заплаха е значително. Веднъж инсталиран, Massiv позволява на нападателите дистанционно да контролират компрометирани устройства, да извършват измамни транзакции и директно да експлоатират мобилните банкови сметки на жертвите.

Зловредният софтуер първоначално е бил открит в кампании, насочени към потребители в Португалия и Гърция, по-рано тази година. Криминалистичният анализ обаче е проследил вариантите на извадките до началото на 2025 г., което предполага предишни по-малки тестови операции.

Разширено събиране на идентификационни данни и манипулиране на наслагвания

Massiv включва възможности, често срещани в усъвършенствания зловреден софтуер за банкиране за Android. Той улеснява кражбата на идентификационни данни чрез множество техники, включително стрийминг на екрана чрез MediaProjection API на Android, регистриране на клавиатура, прихващане на SMS и измамни наслагвания, поставени върху легитимни банкови и финансови приложения. Тези наслагвания подканват потребителите да предоставят идентификационни данни за вход и информация за кредитна карта.

Забележителна кампания беше насочена специално към gov.pt, приложение на португалското правителство, използвано за съхранение на документи за самоличност и управление на цифровия мобилен ключ (Chave Móvel Digital или CMD). Злонамереното наслагване се представяше за официалния интерфейс и изискваше телефонните номера и ПИН кодовете на потребителите, вероятно за да заобиколи процесите на проверка „Познай своя клиент“ (KYC).

Разследванията разкриха и случаи, в които откраднати данни са били използвани за откриване на нови банкови сметки на имената на жертвите. Тези измамни сметки впоследствие са били използвани за операции по пране на пари или за неоторизирани заявления за заеми, всичко това без знанието на жертвите.

Възможности за дистанционно управление и избягване на заснемане на екрана

Освен кражбата на идентификационни данни, Massiv работи като напълно функционален инструмент за отдалечен достъп. Той предоставя на атакуващите скрит контрол върху заразените устройства, като същевременно показва черен екран, за да прикрие злонамерена активност. Тези техники използват услугите за достъпност на Android, тактика, наблюдавана и при други банкови троянски коне, като Crocodilus, Datzbro и Klopatra.

Някои финансови приложения внедряват механизми за защита от заснемане на екрана. За да заобиколи тези защити, Massiv използва техника, наречена „режим на UI-дърво“. Този метод преминава през корените на AccessibilityWindowInfo и рекурсивно обработва обектите AccessibilityNodeInfo, за да реконструира подробно представяне на видимия интерфейс на устройството.

Зловредният софтуер генерира структурирана JSON карта, съдържаща видим текст, описания на съдържанието, елементи на потребителския интерфейс, координати на екрана и флагове за взаимодействие, които показват дали елементите са кликаеми, редактируеми, фокусирани или активирани. Само видими възли, съдържащи текст, се предават към командната инфраструктура на нападателя, което позволява прецизно дистанционно взаимодействие чрез издавани команди.

Цялостна злонамерена функционалност

Massiv е оборудван с богат набор от оперативни инструменти, позволяващи обширна манипулация на устройствата и запазване на данните. Възможностите му включват:

• Активиране или деактивиране на черен екран, заглушаване на звуци и вибрация
• Стрийминг на екрана на устройството и изпращане на информация за устройството
• Извършване на жестове за щракване и плъзгане дистанционно
• Промяна на съдържанието на клипборда
• Отключване на устройството чрез удостоверяване с шаблон
• Разгръщане на наслагвания за целеви приложения или заключени екрани
• Изтегляне на пакети с наслагвания и инсталиране на допълнителни APK файлове
• Отваряне на системни настройки, като например оптимизация на батерията, администратор на устройства и Play Protect
• Заявка за разрешения за инсталиране на SMS и пакети
• Изчистване на базите данни от регистрационни файлове на устройството

Тези функции заедно позволяват на нападателите да поддържат контрол, да избягват разкриването и да извършват финансови измами с прецизност.

Тактики за разпространение: IPTV-тематични дропери

Massiv се разпространява чрез SMS фишинг кампании, използвайки приложения-дропъри, имитиращи IPTV услуги. След инсталирането, приложението подканва жертвата да инсталира „важна“ актуализация и иска разрешение за инсталиране на приложения от външни източници.

Идентифицираните злонамерени артефакти включват:

• IPTV24 (hfgx.mqfy.fejku) – Приложение Dropper
• Google Play (hobfjp.anrxf.cucm) – Масивен полезен товар

В повечето документирани случаи легитимните IPTV приложения не са били компрометирани. Вместо това, дропърът просто е показвал свързано с IPTV уеб съдържание чрез WebView, създавайки илюзията за функционалност, докато зловредният софтуер се е изпълнявал във фонов режим.

През последните шест месеца подобни телевизионни кампании за реклама с рекламни цели бяха насочени предимно към Испания, Португалия, Франция и Турция.

Индикатори за комерсиализация и непрекъснато развитие

Massiv навлиза във вече наситена екосистема от злонамерен софтуер за Android, подчертавайки постоянното търсене на готови решения за финансови измами в киберпрестъпните общности.

Въпреки че все още не е потвърдено като предложение „Malware-as-a-Service“, анализът показва движение в тази посока. Въвеждането на API ключове за комуникация в backend системата предполага усилие за стандартизиране на операциите и потенциално позволяване на използването им от трети страни. Прегледът на кода допълнително разкрива активно развитие, което сигнализира, че в бъдещи итерации може да се появят допълнителни функции и разширени възможности.