Rabattilbud med flere licenser
Trusseldatabase Mobil malware Massiv mobil malware

Massiv mobil malware

Med Mezo i Mobil malware, Bank Trojan
Oversæt til:

Cybersikkerhedsanalytikere har afsløret en sofistikeret Android-banktrojan kendt som Massiv, der er konstrueret til at udføre DTO-angreb (Device Takeover) med det formål at tyveri af penge. Malwaren forklæder sig som legitime IPTV-applikationer og er rettet mod personer, der søger efter online-tv-tjenester.

Selvom trusselsniveauet er identificeret i et begrænset antal fokuserede kampagner, er det betydeligt. Når Massiv er installeret, kan angribere fjernstyre kompromitterede enheder, udføre svigagtige transaktioner og direkte udnytte ofrenes mobile bankkonti.

Malwaren blev oprindeligt opdaget i kampagner rettet mod brugere i Portugal og Grækenland tidligere i år. Retsmedicinsk analyse har dog sporet varianter tilbage til begyndelsen af 2025, hvilket tyder på tidligere testoperationer i mindre skala.

Avanceret indsamling af legitimationsoplysninger og manipulation af overlays

Massiv inkorporerer funktioner, der almindeligvis findes i avanceret Android-bankmalware. Det muliggør tyveri af legitimationsoplysninger gennem flere teknikker, herunder skærmstreaming via Androids MediaProjection API, keylogging, SMS-aflytning og vildledende overlays placeret oven på legitime bank- og finansielle applikationer. Disse overlays beder brugerne om at indsende loginoplysninger og kreditkortoplysninger.

En bemærkelsesværdig kampagne var specifikt rettet mod gov.pt, en portugisisk regeringsapplikation, der bruges til at opbevare identifikationsdokumenter og administrere den digitale mobilnøgle (Chave Móvel Digital eller CMD). Den ondsindede applikation efterlignede den officielle brugerflade og anmodede om brugernes telefonnumre og pinkoder, sandsynligvis for at omgå Know Your Customer (KYC)-verifikationsprocesser.

Undersøgelser afslørede også tilfælde, hvor stjålne data blev udnyttet til at åbne nye bankkonti i ofrenes navne. Disse svigagtige konti blev efterfølgende brugt til hvidvaskning af penge eller uautoriserede låneansøgninger, alt sammen uden ofrenes viden.

Fjernbetjeningsfunktioner og undvigelse af skærmoptagelse

Ud over tyveri af legitimationsoplysninger fungerer Massiv som et fuldt funktionelt fjernadgangsværktøj. Det giver angribere skjult kontrol over inficerede enheder, mens det viser en sort skærmoverlay for at skjule ondsindet aktivitet. Disse teknikker udnytter Android-tilgængelighedstjenester, en taktik, der også observeres i andre banktrojanere som Crocodilus, Datzbro og Klopatra.

Visse finansielle applikationer implementerer skærmbeskyttelsesmekanismer. For at omgå disse forsvar anvender Massiv en teknik kaldet 'UI-tree mode'. Denne metode gennemløber AccessibilityWindowInfo-rødder og behandler rekursivt AccessibilityNodeInfo-objekter for at rekonstruere en detaljeret repræsentation af enhedens synlige grænseflade.

Malwaren genererer et struktureret JSON-kort, der indeholder synlig tekst, indholdsbeskrivelser, UI-elementer, skærmkoordinater og interaktionsflag, der angiver, om elementerne er klikbare, redigerbare, fokuserede eller aktiverede. Kun synlige noder, der indeholder tekst, transmitteres til angriberens kommandoinfrastruktur, hvilket muliggør præcis fjerninteraktion via udstedte kommandoer.

Omfattende skadelig funktionalitet

Massiv er udstyret med et bredt værktøjssæt, der muliggør omfattende manipulation og vedligeholdelse af enheder. Dets funktioner omfatter:

  • Aktivering eller deaktivering af sort skærm, dæmpning af lyde og vibrationer
  • Streaming af enhedens skærm og afsendelse af enhedsoplysninger
  • Udfører klik- og swipe-bevægelser eksternt
  • Ændring af udklipsholderens indhold
  • Oplåsning af enheden ved hjælp af mønstergodkendelse
  • Implementering af overlays til målrettede applikationer eller låseskærme
  • Download af overlay-pakker og installation af yderligere APK-filer
  • Åbning af systemindstillinger såsom Batterioptimering, Enhedsadministrator og Play Protect
  • Anmodning om SMS- og pakkeinstallationstilladelser
  • Rydning af enhedslogdatabaser

Disse funktioner giver tilsammen angribere mulighed for at opretholde kontrol, undgå at blive opdaget og udføre økonomisk svindel med præcision.

Distributionstaktikker: IPTV-tema droppere

Massiv spredes via SMS-phishingkampagner ved hjælp af dropper-applikationer, der imiterer IPTV-tjenester. Efter installationen beder dropper-applikationen offeret om at installere en 'vigtig' opdatering og anmoder om tilladelse til at installere applikationer fra eksterne kilder.

Identificerede ondsindede artefakter omfatter:

  • IPTV24 (hfgx.mqfy.fejku) – Dropper-applikation
  • Google Play (hobfjp.anrxf.cucm) – Massiv nyttelast

I de fleste dokumenterede tilfælde blev legitime IPTV-applikationer ikke kompromitteret. I stedet viste dropperen blot IPTV-relateret webindhold via en WebView, hvilket skabte illusionen af funktionalitet, mens malwaren kørte i baggrunden.

I løbet af de sidste seks måneder har lignende tv-tema-kampagner med dropper primært været rettet mod Spanien, Portugal, Frankrig og Tyrkiet.

Indikatorer for kommercialisering og løbende udvikling

Massiv træder ind i et allerede mættet Android-malware-økosystem, hvilket understreger den vedvarende efterspørgsel efter nøglefærdige løsninger til økonomisk svindel inden for cyberkriminelle miljøer.

Selvom det endnu ikke er bekræftet som et Malware-as-a-Service-tilbud, indikerer analysen en bevægelse i den retning. Introduktionen af API-nøgler til backend-kommunikation antyder en indsats for at standardisere operationer og potentielt muliggøre brug af tredjeparter. Kodegennemgang afslører yderligere aktiv udvikling, hvilket signalerer, at yderligere funktioner og udvidede muligheder kan dukke op i fremtidige iterationer.

Trending

Mest sete

Indlæser...