Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Mobiilne pahavara Massiv Mobile'i pahavara

Massiv Mobile'i pahavara

Aastaks Mezo aastal Mobiilne pahavara, Pangandus troojalane
Tõlgi:

Küberjulgeolekuanalüütikud on paljastanud keeruka Androidi pangandustrooja nimega Massiv, mis on loodud seadmete ülevõtmise (DTO) rünnakute teostamiseks, mille eesmärk on rahaline vargus. Pahavara maskeerib end legitiimseteks IPTV-rakendusteks, sihtides inimesi, kes otsivad veebipõhiseid televisiooniteenuseid.

Kuigi seda on tuvastatud piiratud arvus sihtotstarbelistes kampaaniates, on ohutase märkimisväärne. Pärast Massivi installimist võimaldab see ründajatel ohustatud seadmeid kaugjuhtimise teel juhtida, petturlikke tehinguid teha ja ohvrite mobiilipangakontosid otse ära kasutada.

Pahavara avastati algselt selle aasta alguses Portugali ja Kreeka kasutajatele suunatud kampaaniates. Kohtuekspertiisi analüüs on aga näidanud, et näidisvariandid pärinevad 2025. aasta algusest, mis viitab varasematele väiksemamahulistele testimisoperatsioonidele.

Täiustatud volituste kogumine ja ülekattega manipuleerimine

Massiv sisaldab funktsioone, mida tavaliselt leidub täiustatud Androidi panganduspahavaras. See hõlbustab volituste vargust mitme tehnika abil, sealhulgas ekraani voogedastus Androidi MediaProjection API kaudu, klahvilogimine, SMS-ide pealtkuulamine ja petlikud katted, mis asetatakse legitiimsete pangandus- ja finantsrakenduste peale. Need katted paluvad kasutajatel esitada sisselogimisandmeid ja krediitkaardi andmeid.

Märkimisväärne kampaania oli suunatud Portugali valitsuse rakendusele gov.pt, mida kasutatakse isikut tõendavate dokumentide salvestamiseks ja digitaalse mobiilvõtme (Chave Móvel Digital ehk CMD) haldamiseks. Pahatahtlik kiht jäljendas ametlikku liidest ning küsis kasutajate telefoninumbreid ja PIN-koode, et tõenäoliselt mööda hiilida kliendituvastuse (KYC) protsessidest.

Uurimised paljastasid ka juhtumeid, kus varastatud andmeid kasutati ohvrite nimedele uute pangakontode avamiseks. Neid petturlikke kontosid kasutati hiljem rahapesuks või volitamata laenutaotlusteks, seda kõike ohvrite teadmata.

Kaugjuhtimisvõimalused ja ekraanipiltide salvestamise vältimine

Lisaks volituste vargusele toimib Massiv täisfunktsionaalse kaugjuurdepääsu tööriistana. See annab ründajatele varjatud kontrolli nakatunud seadmete üle, kuvades samal ajal musta ekraani, et varjata pahatahtlikku tegevust. Need tehnikad kasutavad ära Androidi ligipääsetavuse teenuseid – taktikat, mida on täheldatud ka teiste pangandustroojalaste, näiteks Crocodiluse, Datzbro ja Klopatra, puhul.

Teatud finantsrakendused rakendavad ekraanipiltide kaitsemehhanisme. Nende kaitsemehhanismide möödahiilimiseks kasutab Massiv tehnikat, mida nimetatakse "UI-puu režiimiks". See meetod läbib AccessibilityWindowInfo juured ja töötleb rekursiivselt AccessibilityNodeInfo objekte, et rekonstrueerida seadme nähtava liidese detailne esitus.

Pahavara genereerib struktureeritud JSON-kaardi, mis sisaldab nähtavat teksti, sisukirjeldusi, kasutajaliidese elemente, ekraanikoordinaate ja interaktsioonimärke, mis näitavad, kas elemendid on klõpsatavad, muudetavad, fokuseeritud või lubatud. Ründaja käsuinfrastruktuuri edastatakse ainult nähtavad teksti sisaldavad sõlmed, mis võimaldab täpset kaugsuhtlust väljastatud käskude kaudu.

Põhjalik pahatahtlik funktsionaalsus

Massiv on varustatud laiaulatusliku tööriistakomplektiga, mis võimaldab ulatuslikku seadmete manipuleerimist ja püsivust. Selle võimete hulka kuuluvad:

  • Musta ekraani katte aktiveerimine või keelamine, helide ja vibratsiooni vaigistamine
  • Seadme ekraani voogedastus ja seadme teabe saatmine
  • Klõpsamis- ja pühkimisžestide sooritamine eemalt
  • Lõikelaua sisu muutmine
  • Seadme avamine mustri autentimise abil
  • Sihtrakenduste või lukustuskuvade pealiskihtide juurutamine
  • Ülekattepakettide allalaadimine ja täiendavate APK-failide installimine
  • Süsteemiseadete (nt aku optimeerimine, seadme administraator ja Play Protect) avamine
  • SMS-i ja pakettide installimislubade taotlemine
  • Seadme logide andmebaaside tühjendamine

Need funktsioonid võimaldavad ründajatel üheskoos säilitada kontrolli, vältida avastamist ja täpselt toime panna finantspettusi.

Levitamistaktika: IPTV-teemalised tilgutajad

Massiv levib SMS-õngitsuskampaaniate kaudu, kasutades IPTV-teenuseid imiteerivaid dropper-rakendusi. Pärast installimist palub dropper ohvril installida „olulise” värskenduse ja küsib luba rakenduste installimiseks välistest allikatest.

Tuvastatud pahatahtlike esemete hulka kuuluvad:

  • IPTV24 (hfgx.mqfy.fejku) – Dropperi rakendus
  • Google Play (hobfjp.anrxf.cucm) – Massiv kasulik koormus

Enamikul dokumenteeritud juhtudel ei ohustatud legitiimseid IPTV rakendusi. Selle asemel kuvas dropper lihtsalt IPTV-ga seotud veebisisu WebView kaudu, luues illusiooni funktsionaalsusest, samal ajal kui pahavara taustal töötas.

Viimase kuue kuu jooksul on sarnased teleteemalised tilgutikampaaniad suunatud peamiselt Hispaaniale, Portugalile, Prantsusmaale ja Türgile.

Kommertsialiseerimise ja käimasoleva arengu näitajad

Massiv siseneb juba küllastunud Androidi pahavara ökosüsteemi, mis rõhutab küberkurjategijate kogukondades püsivat nõudlust valmislahenduste järele finantspettuste vastu võitlemiseks.

Kuigi seda pole veel pahavara teenusena kinnitatud, näitab analüüs liikumist selles suunas. API-võtmete kasutuselevõtt taustsüsteemi suhtluseks viitab püüdele toiminguid standardiseerida ja potentsiaalselt kolmandate osapoolte kasutust võimaldada. Koodi ülevaade näitab lisaks aktiivset arendustegevust, mis annab märku, et tulevastes iteratsioonides võivad ilmneda lisafunktsioonid ja laiendatud võimalused.

Trendikas

Enim vaadatud

Laadimine...