Masivní mobilní malware

Analytici kybernetické bezpečnosti odhalili sofistikovaný bankovní trojský kůň Massiv pro Android, který byl navržen k provádění útoků na převzetí zařízení (DTO) zaměřených na finanční krádež. Malware se maskuje jako legitimní IPTV aplikace a cílí na jednotlivce hledající online televizní služby.

Přestože byl identifikován v omezeném počtu cílených kampaní, úroveň hrozby je značná. Po instalaci umožňuje Massiv útočníkům vzdáleně ovládat napadená zařízení, provádět podvodné transakce a přímo zneužívat mobilní bankovní účty obětí.

Malware byl původně detekován v kampaních zaměřených na uživatele v Portugalsku a Řecku začátkem tohoto roku. Forenzní analýza však vysledovala vzorky variant až do začátku roku 2025, což naznačuje předchozí testovací operace menšího rozsahu.

Pokročilé sběry přihlašovacích údajů a manipulace s překrytím

Massiv obsahuje funkce běžně používané v pokročilém bankovním malwaru pro Android. Usnadňuje krádež přihlašovacích údajů pomocí řady technik, včetně streamování obrazovky přes MediaProjection API pro Android, keyloggu, zachycování SMS a klamavých překryvů umístěných přes legitimní bankovní a finanční aplikace. Tyto překryvy vyzývají uživatele k zadání přihlašovacích údajů a informací o kreditní kartě.

Významná kampaň se zaměřila konkrétně na gov.pt, portugalskou vládní aplikaci používanou k ukládání identifikačních dokladů a správě digitálního mobilního klíče (Chave Móvel Digital nebo CMD). Škodlivý překryvný kód se vydával za oficiální rozhraní a požadoval telefonní čísla a PIN kódy uživatelů, čímž pravděpodobně obcházel ověřovací procesy Know Your Customer (KYC).

Vyšetřování rovněž odhalilo případy, kdy byly odcizené údaje zneužity k otevření nových bankovních účtů na jména obětí. Tyto podvodné účty byly následně použity k praní špinavých peněz nebo k neoprávněným žádostem o půjčku, a to vše bez vědomí obětí.

Možnosti dálkového ovládání a vyhýbání se snímání obrazovky

Kromě krádeže přihlašovacích údajů funguje Massiv jako plně funkční nástroj pro vzdálený přístup. Útočníkům poskytuje skrytou kontrolu nad infikovanými zařízeními a zároveň zobrazuje černou obrazovku, která skryje škodlivou aktivitu. Tyto techniky zneužívají služby usnadnění přístupu Androidu, což je taktika pozorovaná i u dalších bankovních trojských koní, jako jsou Crocodilus, Datzbro a Klopatra.

Některé finanční aplikace implementují mechanismy ochrany před snímáním obrazovky. Aby Massiv tyto obranné mechanismy obešel, používá techniku označovanou jako „režim UI-tree“. Tato metoda prochází kořeny AccessibilityWindowInfo a rekurzivně zpracovává objekty AccessibilityNodeInfo, aby rekonstruovala detailní reprezentaci viditelného rozhraní zařízení.

Malware generuje strukturovanou mapu JSON obsahující viditelný text, popisy obsahu, prvky uživatelského rozhraní, souřadnice obrazovky a interakční příznaky, které označují, zda jsou prvky klikatelné, upravitelné, zaostřené nebo povolené. Do řídicí infrastruktury útočníka se přenášejí pouze viditelné uzly obsahující text, což umožňuje přesnou vzdálenou interakci prostřednictvím vydávaných příkazů.

Komplexní škodlivá funkcionalita

Massiv je vybaven širokou sadou operačních nástrojů, které umožňují rozsáhlou manipulaci se zařízením a jeho perzistenci. Mezi jeho možnosti patří:

• Aktivace nebo deaktivace černého překrytí obrazovky, ztlumení zvuků a vibrací
• Streamování obrazovky zařízení a odesílání informací o zařízení
• Provádění gest klikání a přejetí na dálku
• Úprava obsahu schránky
• Odemknutí zařízení pomocí ověřování pomocí vzoru
• Nasazení překryvů pro cílené aplikace nebo zamykací obrazovky
• Stahování balíčků překryvů a instalace dalších souborů APK
• Otevření nastavení systému, jako je Optimalizace baterie, Správce zařízení a Play Protect
• Žádost o oprávnění k instalaci SMS a balíčků
• Vymazání databází protokolů zařízení

Tyto funkce společně umožňují útočníkům udržet si kontrolu, vyhnout se odhalení a s přesností provádět finanční podvody.

Distribuční taktiky: Droppery s tematikou IPTV

Massiv se šíří prostřednictvím SMS phishingových kampaní s využitím aplikací typu dropper, které napodobují služby IPTV. Po instalaci aplikace vyzve oběť k instalaci „důležité“ aktualizace a požádá o povolení k instalaci aplikací z externích zdrojů.

Mezi identifikované škodlivé artefakty patří:

• IPTV24 (hfgx.mqfy.fejku) – Aplikace Dropper
• Google Play (hobfjp.anrxf.cucm) – Masivní datové zatížení

Ve většině zdokumentovaných případů nebyly legitimní IPTV aplikace napadeny. Místo toho dropper pouze zobrazoval webový obsah související s IPTV prostřednictvím WebView, čímž vytvářel iluzi funkčnosti, zatímco malware běžel na pozadí.

Během posledních šesti měsíců se podobné televizní kampaně zaměřené na droppery zaměřily především na Španělsko, Portugalsko, Francii a Turecko.

Ukazatele komercializace a probíhajícího rozvoje

Massiv vstupuje do již tak nasyceného ekosystému malwaru pro Android, což podtrhuje přetrvávající poptávku po komplexních řešeních finančních podvodů v rámci kyberzločinných komunit.

Ačkoliv zatím nebylo potvrzeno, že se jedná o nabídku typu Malware-as-a-Service (Malware jako služba), analýza naznačuje pohyb tímto směrem. Zavedení API klíčů pro komunikaci na backendu naznačuje snahu o standardizaci operací a potenciální umožnění jejich využití třetími stranami. Revize kódu dále odhaluje aktivní vývoj, což signalizuje, že v budoucích iteracích se mohou objevit další funkce a rozšířené možnosti.