Massiv Mobile Malware

Els analistes de ciberseguretat han descobert un sofisticat troià bancari d'Android conegut com a Massiv, dissenyat per executar atacs de presa de control de dispositius (DTO) destinats al robatori financer. El programari maliciós es disfressa d'aplicacions IPTV legítimes, dirigides a individus que busquen serveis de televisió en línia.

Tot i que s'ha identificat en un nombre limitat de campanyes específiques, el nivell d'amenaça és significatiu. Un cop instal·lat, Massiv permet als atacants controlar de forma remota els dispositius compromesos, dur a terme transaccions fraudulentes i explotar directament els comptes bancaris mòbils de les víctimes.

El programari maliciós es va detectar inicialment en campanyes dirigides a usuaris de Portugal i Grècia a principis d'aquest any. Tanmateix, l'anàlisi forense ha rastrejat variants de mostra fins a principis del 2025, cosa que suggereix operacions de proves anteriors a menor escala.

Recollida avançada de credencials i manipulació de superposicions

Massiv incorpora capacitats que es troben habitualment en programari maliciós bancari avançat per a Android. Facilita el robatori de credencials a través de múltiples tècniques, com ara la transmissió de pantalla a través de l'API MediaProjection d'Android, el registre de pulsacions (keylogging), la intercepció de SMS i les superposicions enganyoses col·locades sobre aplicacions bancàries i financeres legítimes. Aquestes superposicions demanen als usuaris que enviïn credencials d'inici de sessió i informació de la targeta de crèdit.

Una campanya notable va tenir com a objectiu específic gov.pt, una aplicació del govern portuguès que s'utilitza per emmagatzemar documents d'identificació i gestionar la Clau Mòbil Digital (Chave Móvel Digital o CMD). La capa maliciosa es va fer passar per la interfície oficial i va sol·licitar els números de telèfon i els codis PIN dels usuaris, probablement per eludir els processos de verificació de Coneixement del Client (KYC).

Les investigacions també van revelar casos en què es van aprofitar dades robades per obrir nous comptes bancaris a nom de les víctimes. Aquests comptes fraudulents es van utilitzar posteriorment per a operacions de blanqueig de capitals o sol·licituds de préstecs no autoritzats, tot sense que les víctimes en fossin conscients.

Capacitats de control remot i evasió de captura de pantalla

Més enllà del robatori de credencials, Massiv funciona com una eina d'accés remot completament funcional. Atorga als atacants control encobert dels dispositius infectats mentre mostra una pantalla negra superposada per ocultar l'activitat maliciosa. Aquestes tècniques exploten els serveis d'accessibilitat d'Android, una tàctica que també s'observa en altres troians bancaris com ara Crocodilus, Datzbro i Klopatra.

Algunes aplicacions financeres implementen mecanismes de protecció contra captures de pantalla. Per evitar aquestes defenses, Massiv implementa una tècnica anomenada "mode d'arbre d'IU". Aquest mètode recorre les arrels d'AccessibilityWindowInfo i processa recursivament els objectes AccessibilityNodeInfo per reconstruir una representació detallada de la interfície visible del dispositiu.

El programari maliciós genera un mapa JSON estructurat que conté text visible, descripcions de contingut, elements de la interfície d'usuari, coordenades de pantalla i indicadors d'interacció que indiquen si els elements són clicables, editables, enfocats o activats. Només els nodes visibles que contenen text es transmeten a la infraestructura de comandaments de l'atacant, cosa que permet una interacció remota precisa mitjançant comandaments emesos.

Funcionalitat maliciosa completa

Massiv està equipat amb un ampli conjunt d'eines operatives que permet una àmplia manipulació i persistència de dispositius. Les seves capacitats inclouen:

• Activació o desactivació d'una superposició de pantalla negra, silenciació de sons i vibració
• Transmissió de la pantalla del dispositiu i enviament d'informació del dispositiu
• Realització de gestos de clic i lliscar de forma remota
• Modificació del contingut del porta-retalls
• Desbloquejar el dispositiu mitjançant l'autenticació de patrons
• Implementació de superposicions per a aplicacions o pantalles de bloqueig específiques
• Baixada de paquets de superposició i instal·lació de fitxers APK addicionals
• Obrir la configuració del sistema, com ara Optimització de la bateria, Administrador de dispositius i Play Protect
• Sol·licitud de permisos d'instal·lació de SMS i paquets
• Esborrant les bases de dades de registre del dispositiu

Aquestes funcions permeten, en conjunt, als atacants mantenir el control, evadir la detecció i executar fraus financers amb precisió.

Tàctiques de distribució: Droppers amb temàtica d’IPTV

Massiv es propaga a través de campanyes de phishing per SMS utilitzant aplicacions dropper que imiten els serveis d'IPTV. Després de la instal·lació, el dropper demana a la víctima que instal·li una actualització "important" i sol·licita permís per instal·lar aplicacions de fonts externes.

Els artefactes maliciosos identificats inclouen:

• IPTV24 (hfgx.mqfy.fejku) – Aplicació Dropper
• Google Play (hobfjp.anrxf.cucm) – Càrrega útil massiva

En la majoria de casos documentats, les aplicacions IPTV legítimes no es van veure compromeses. En canvi, el dropper simplement mostrava contingut web relacionat amb IPTV a través d'una WebView, creant la il·lusió de funcionalitat mentre el programari maliciós s'executava en segon pla.

Durant els darrers sis mesos, campanyes similars de publicitat amb temàtica televisiva s'han dirigit principalment a Espanya, Portugal, França i Turquia.

Indicadors de comercialització i desenvolupament continu

Massiv entra en un ecosistema de programari maliciós d'Android ja saturat, cosa que subratlla la demanda persistent de solucions clau en mà contra el frau financer dins de les comunitats ciberdelinqüents.

Tot i que encara no s'ha confirmat com a oferta de programari maliciós com a servei, l'anàlisi indica un moviment en aquesta direcció. La introducció de claus API per a la comunicació del backend suggereix un esforç per estandarditzar les operacions i potencialment permetre l'ús per part de tercers. La revisió del codi revela a més un desenvolupament actiu, cosa que indica que poden sorgir funcions addicionals i capacitats ampliades en futures iteracions.