Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κακόβουλο λογισμικό Massiv Mobile

Κακόβουλο λογισμικό Massiv Mobile

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:

Αναλυτές κυβερνοασφάλειας αποκάλυψαν ένα εξελιγμένο trojan τραπεζικών συναλλαγών Android, γνωστό ως Massiv, το οποίο έχει σχεδιαστεί για να εκτελεί επιθέσεις κατάληψης συσκευών (DTO) με στόχο την οικονομική κλοπή. Το κακόβουλο λογισμικό μεταμφιέζεται σε νόμιμες εφαρμογές IPTV, στοχεύοντας άτομα που αναζητούν διαδικτυακές τηλεοπτικές υπηρεσίες.

Παρόλο που εντοπίστηκε σε περιορισμένο αριθμό στοχευμένων καμπανιών, το επίπεδο απειλής είναι σημαντικό. Μόλις εγκατασταθεί, το Massiv επιτρέπει στους εισβολείς να ελέγχουν εξ αποστάσεως παραβιασμένες συσκευές, να πραγματοποιούν δόλιες συναλλαγές και να εκμεταλλεύονται άμεσα τους λογαριασμούς κινητής τηλεφωνίας των θυμάτων.

Το κακόβουλο λογισμικό εντοπίστηκε αρχικά σε καμπάνιες που στόχευαν χρήστες στην Πορτογαλία και την Ελλάδα νωρίτερα φέτος. Ωστόσο, η εγκληματολογική ανάλυση έχει εντοπίσει παραλλαγές δειγμάτων από τις αρχές του 2025, γεγονός που υποδηλώνει προηγούμενες επιχειρήσεις δοκιμών μικρότερης κλίμακας.

Προηγμένη συλλογή διαπιστευτηρίων και χειρισμός επικάλυψης

Το Massiv ενσωματώνει δυνατότητες που συναντώνται συνήθως σε προηγμένο κακόβουλο λογισμικό τραπεζικών συναλλαγών Android. Διευκολύνει την κλοπή διαπιστευτηρίων μέσω πολλαπλών τεχνικών, όπως η ροή οθόνης μέσω του MediaProjection API του Android, η καταγραφή πλήκτρων, η υποκλοπή SMS και οι παραπλανητικές επικαλύψεις που τοποθετούνται πάνω από νόμιμες τραπεζικές και χρηματοοικονομικές εφαρμογές. Αυτές οι επικαλύψεις ζητούν από τους χρήστες να υποβάλουν διαπιστευτήρια σύνδεσης και στοιχεία πιστωτικής κάρτας.

Μια αξιοσημείωτη εκστρατεία στόχευε συγκεκριμένα το gov.pt, μια εφαρμογή της πορτογαλικής κυβέρνησης που χρησιμοποιείται για την αποθήκευση εγγράφων ταυτοποίησης και τη διαχείριση του Ψηφιακού Κλειδιού Κινητού (Chave Móvel Digital ή CMD). Η κακόβουλη επικάλυψη πλαστοπροσωπούσε την επίσημη διεπαφή και ζητούσε τους αριθμούς τηλεφώνου και τους κωδικούς PIN των χρηστών, πιθανώς για να παρακάμψει τις διαδικασίες επαλήθευσης του Know Your Customer (KYC).

Οι έρευνες αποκάλυψαν επίσης περιπτώσεις όπου κλεμμένα δεδομένα χρησιμοποιήθηκαν για το άνοιγμα νέων τραπεζικών λογαριασμών στα ονόματα των θυμάτων. Αυτοί οι δόλιοι λογαριασμοί χρησιμοποιήθηκαν στη συνέχεια για ξέπλυμα χρήματος ή για μη εξουσιοδοτημένες αιτήσεις δανείων, όλα εν αγνοία των θυμάτων.

Δυνατότητες τηλεχειρισμού και αποφυγή λήψης οθόνης

Πέρα από την κλοπή διαπιστευτηρίων, το Massiv λειτουργεί ως ένα πλήρως λειτουργικό εργαλείο απομακρυσμένης πρόσβασης. Παρέχει στους εισβολείς μυστικό έλεγχο των μολυσμένων συσκευών, ενώ εμφανίζει μια επικάλυψη μαύρης οθόνης για να αποκρύψει κακόβουλη δραστηριότητα. Αυτές οι τεχνικές εκμεταλλεύονται τις υπηρεσίες προσβασιμότητας Android, μια τακτική που παρατηρείται και σε άλλα τραπεζικά trojan όπως τα Crocodilus, Datzbro και Klopatra.

Ορισμένες οικονομικές εφαρμογές εφαρμόζουν μηχανισμούς προστασίας από καταγραφή οθόνης. Για να παρακάμψει αυτές τις άμυνες, το Massiv αναπτύσσει μια τεχνική που αναφέρεται ως «λειτουργία UI-tree». Αυτή η μέθοδος διασχίζει τις ρίζες του AccessibilityWindowInfo και επεξεργάζεται αναδρομικά τα αντικείμενα AccessibilityNodeInfo για να ανακατασκευάσει μια λεπτομερή αναπαράσταση της ορατής διεπαφής της συσκευής.

Το κακόβουλο λογισμικό δημιουργεί έναν δομημένο χάρτη JSON που περιέχει ορατό κείμενο, περιγραφές περιεχομένου, στοιχεία UI, συντεταγμένες οθόνης και σημαίες αλληλεπίδρασης που υποδεικνύουν εάν τα στοιχεία είναι κλικάρσιμα, επεξεργάσιμα, εστιασμένα ή ενεργοποιημένα. Μόνο ορατοί κόμβοι που περιέχουν κείμενο μεταδίδονται στην υποδομή εντολών του εισβολέα, επιτρέποντας την ακριβή απομακρυσμένη αλληλεπίδραση μέσω εκδιδόμενων εντολών.

Πλήρης κακόβουλη λειτουργικότητα

Το Massiv είναι εξοπλισμένο με ένα ευρύ κιτ λειτουργικών εργαλείων που επιτρέπει εκτεταμένο χειρισμό και διατήρηση συσκευών. Οι δυνατότητές του περιλαμβάνουν:

  • Ενεργοποίηση ή απενεργοποίηση επικάλυψης μαύρης οθόνης, σίγαση ήχων και δόνησης
  • Ροή της οθόνης της συσκευής και αποστολή πληροφοριών συσκευής
  • Εκτέλεση χειρονομιών κλικ και σάρωσης από απόσταση
  • Τροποποίηση περιεχομένου προχείρου
  • Ξεκλείδωμα συσκευής χρησιμοποιώντας έλεγχο ταυτότητας με μοτίβο
  • Ανάπτυξη επικαλύψεων για στοχευμένες εφαρμογές ή οθόνες κλειδώματος
  • Λήψη πακέτων επικάλυψης και εγκατάσταση πρόσθετων αρχείων APK
  • Άνοιγμα ρυθμίσεων συστήματος όπως Βελτιστοποίηση μπαταρίας, Διαχειριστής συσκευής και Play Protect
  • Αίτημα δικαιωμάτων εγκατάστασης SMS και πακέτων
  • Εκκαθάριση βάσεων δεδομένων καταγραφής συσκευών

Αυτές οι λειτουργίες συλλογικά επιτρέπουν στους εισβολείς να διατηρούν τον έλεγχο, να αποφεύγουν τον εντοπισμό και να εκτελούν οικονομικές απάτες με ακρίβεια.

Τακτικές Διανομής: Droppers με θέμα IPTV

Ο ιός Massiv εξαπλώνεται μέσω καμπανιών ηλεκτρονικού "ψαρέματος" μέσω SMS χρησιμοποιώντας εφαρμογές dropper που μιμούνται υπηρεσίες IPTV. Μετά την εγκατάσταση, το dropper ζητά από το θύμα να εγκαταστήσει μια "σημαντική" ενημέρωση και ζητά άδεια για την εγκατάσταση εφαρμογών από εξωτερικές πηγές.

Τα εντοπισμένα κακόβουλα αντικείμενα περιλαμβάνουν:

  • IPTV24 (hfgx.mqfy.fejku) – Εφαρμογή Dropper
  • Google Play (hobfjp.anrxf.cucm) – Φορτίο Massiv

Στις περισσότερες καταγεγραμμένες περιπτώσεις, οι νόμιμες εφαρμογές IPTV δεν παραβιάστηκαν. Αντίθετα, το dropper απλώς εμφάνιζε περιεχόμενο ιστού που σχετίζεται με την IPTV μέσω ενός WebView, δημιουργώντας την ψευδαίσθηση λειτουργικότητας ενώ το κακόβουλο λογισμικό εκτελούνταν στο παρασκήνιο.

Τους τελευταίους έξι μήνες, παρόμοιες καμπάνιες dropper με θέμα την τηλεόραση έχουν στοχεύσει κυρίως την Ισπανία, την Πορτογαλία, τη Γαλλία και την Τουρκία.

Δείκτες Εμπορευματοποίησης και Συνεχούς Ανάπτυξης

Το Massiv εισέρχεται σε ένα ήδη κορεσμένο οικοσύστημα κακόβουλου λογισμικού Android, υπογραμμίζοντας τη διαρκή ζήτηση για έτοιμα προς χρήση λύσεις οικονομικής απάτης εντός των κοινοτήτων κυβερνοεγκληματιών.

Παρόλο που δεν έχει ακόμη επιβεβαιωθεί ως προσφορά Malware-as-a-Service, η ανάλυση δείχνει κίνηση προς αυτή την κατεύθυνση. Η εισαγωγή κλειδιών API για επικοινωνία backend υποδηλώνει μια προσπάθεια τυποποίησης των λειτουργιών και ενδεχομένως ενεργοποίησης της χρήσης από τρίτους. Η ανασκόπηση του κώδικα αποκαλύπτει περαιτέρω ενεργή ανάπτυξη, σηματοδοτώντας ότι ενδέχεται να εμφανιστούν πρόσθετες λειτουργίες και διευρυμένες δυνατότητες σε μελλοντικές εκδόσεις.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
24,627
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...