قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل بدافزار موبایل Massiv

بدافزار موبایل Massiv

تا Mezo در بدافزار موبایل, تروجان بانکی
ترجمه به:

تحلیلگران امنیت سایبری یک تروجان بانکی پیشرفته اندروید به نام Massiv را کشف کرده‌اند که برای اجرای حملات تصاحب دستگاه (DTO) با هدف سرقت مالی طراحی شده است. این بدافزار خود را به عنوان برنامه‌های IPTV قانونی پنهان می‌کند و افرادی را که به دنبال سرویس‌های تلویزیونی آنلاین هستند، هدف قرار می‌دهد.

اگرچه در تعداد محدودی از کمپین‌های متمرکز شناسایی شده است، اما سطح تهدید آن قابل توجه است. پس از نصب، Massiv به مهاجمان امکان می‌دهد تا از راه دور دستگاه‌های آسیب‌دیده را کنترل کنند، تراکنش‌های جعلی انجام دهند و مستقیماً از حساب‌های بانکی تلفن همراه قربانیان سوءاستفاده کنند.

این بدافزار ابتدا در اوایل سال جاری در کمپین‌هایی که کاربران را در پرتغال و یونان هدف قرار می‌دادند، شناسایی شد. با این حال، تجزیه و تحلیل‌های پزشکی قانونی، انواع نمونه‌ها را تا اوایل سال ۲۰۲۵ ردیابی کرده است که نشان می‌دهد عملیات آزمایشی در مقیاس کوچک‌تر، پیش از این نیز انجام شده است.

جمع‌آوری پیشرفته اعتبارنامه‌ها و دستکاری همپوشانی

Massiv قابلیت‌هایی را که معمولاً در بدافزارهای پیشرفته بانکی اندروید یافت می‌شود، در خود جای داده است. این بدافزار سرقت اعتبارنامه‌ها را از طریق تکنیک‌های مختلف، از جمله پخش صفحه نمایش از طریق API MediaProjection اندروید، ثبت کلیدهای فشرده، رهگیری پیامک و پوشش‌های فریبنده‌ای که روی برنامه‌های بانکی و مالی قانونی قرار می‌گیرند، تسهیل می‌کند. این پوشش‌ها کاربران را وادار به ارائه اعتبارنامه‌های ورود به سیستم و اطلاعات کارت اعتباری می‌کنند.

یک کمپین قابل توجه به طور خاص gov.pt، یک برنامه دولتی پرتغالی که برای ذخیره اسناد شناسایی و مدیریت کلید موبایل دیجیتال (Chave Móvel Digital یا CMD) استفاده می‌شود، را هدف قرار داد. این پوشش مخرب، رابط رسمی را جعل کرده و شماره تلفن‌ها و کدهای پین کاربران را درخواست می‌کرد، که احتمالاً فرآیندهای تأیید هویت مشتری (KYC) را دور می‌زد.

تحقیقات همچنین مواردی را آشکار کرد که در آنها از داده‌های سرقت‌شده برای افتتاح حساب‌های بانکی جدید به نام قربانیان استفاده شده است. این حساب‌های جعلی متعاقباً برای عملیات پولشویی یا درخواست‌های وام غیرمجاز، بدون اطلاع قربانیان، مورد استفاده قرار گرفته‌اند.

قابلیت‌های کنترل از راه دور و جلوگیری از ضبط صفحه نمایش

فراتر از سرقت اعتبارنامه، Massiv به عنوان یک ابزار دسترسی از راه دور کاملاً کاربردی عمل می‌کند. این ابزار به مهاجمان امکان کنترل مخفیانه دستگاه‌های آلوده را می‌دهد و در عین حال یک صفحه سیاه را برای پنهان کردن فعالیت مخرب نمایش می‌دهد. این تکنیک‌ها از سرویس‌های دسترسی اندروید سوءاستفاده می‌کنند، تاکتیکی که در سایر تروجان‌های بانکی مانند Crocodilus، Datzbro و Klopatra نیز مشاهده شده است.

برخی از برنامه‌های مالی، مکانیسم‌های محافظت از ضبط صفحه نمایش را پیاده‌سازی می‌کنند. برای دور زدن این موانع، Massiv از تکنیکی به نام «حالت درخت رابط کاربری» استفاده می‌کند. این روش از ریشه‌های AccessibilityWindowInfo عبور می‌کند و به صورت بازگشتی اشیاء AccessibilityNodeInfo را پردازش می‌کند تا نمایش دقیقی از رابط کاربری قابل مشاهده دستگاه را بازسازی کند.

این بدافزار یک نقشه JSON ساختاریافته حاوی متن قابل مشاهده، توضیحات محتوا، عناصر رابط کاربری، مختصات صفحه و پرچم‌های تعاملی ایجاد می‌کند که نشان می‌دهد آیا عناصر قابل کلیک، قابل ویرایش، متمرکز یا فعال هستند. فقط گره‌های قابل مشاهده حاوی متن به زیرساخت فرمان مهاجم منتقل می‌شوند و امکان تعامل دقیق از راه دور را از طریق دستورات صادر شده فراهم می‌کنند.

عملکرد جامع مخرب

Massiv مجهز به یک جعبه ابزار عملیاتی گسترده است که امکان دستکاری و پایداری گسترده دستگاه را فراهم می‌کند. قابلیت‌های آن عبارتند از:

  • فعال یا غیرفعال کردن پوشش صفحه سیاه، بی‌صدا کردن صداها و لرزش
  • پخش جریانی صفحه نمایش دستگاه و ارسال اطلاعات دستگاه
  • انجام حرکات کلیک و کشیدن از راه دور
  • تغییر محتوای کلیپ‌بورد
  • باز کردن قفل دستگاه با استفاده از الگوی احراز هویت
  • استقرار پوشش‌ها برای برنامه‌های هدفمند یا صفحه‌های قفل
  • دانلود بسته‌های پوششی و نصب فایل‌های APK اضافی
  • باز کردن تنظیمات سیستم مانند بهینه‌سازی باتری، مدیر دستگاه و محافظت از بازی
  • درخواست مجوزهای نصب پیامک و بسته
  • پاکسازی پایگاه‌های داده لاگ دستگاه

این عملکردها در مجموع به مهاجمان اجازه می‌دهند تا کنترل را حفظ کنند، از شناسایی شدن فرار کنند و با دقت کلاهبرداری مالی انجام دهند.

تاکتیک‌های توزیع: توزیع‌کنندگان با تم IPTV

Massiv از طریق کمپین‌های فیشینگ پیامکی با استفاده از برنامه‌های کاربردی که سرویس‌های IPTV را تقلید می‌کنند، گسترش می‌یابد. پس از نصب، برنامه کاربردی قربانی را مجبور به نصب یک به‌روزرسانی «مهم» می‌کند و درخواست مجوز برای نصب برنامه‌ها از منابع خارجی را دارد.

مصنوعات مخرب شناسایی شده عبارتند از:

  • IPTV24 (hfgx.mqfy.fejku) – برنامه‌ی Dropper
  • گوگل پلی (hobfjp.anrxf.cucm) – بار داده عظیم

در بیشتر موارد مستند، برنامه‌های قانونی IPTV مورد نفوذ قرار نگرفتند. در عوض، بدافزار صرفاً محتوای وب مربوط به IPTV را از طریق یک WebView نمایش می‌داد و در حالی که بدافزار در پس‌زمینه اجرا می‌شد، توهم عملکرد را ایجاد می‌کرد.

در طول شش ماه گذشته، کمپین‌های مشابه با مضمون تلویزیونی، عمدتاً اسپانیا، پرتغال، فرانسه و ترکیه را هدف قرار داده‌اند.

شاخص‌های تجاری‌سازی و توسعه مداوم

Massiv وارد یک اکوسیستم بدافزار اندرویدی اشباع‌شده می‌شود که نشان‌دهنده تقاضای مداوم برای راه‌حل‌های آماده برای کلاهبرداری مالی در جوامع جرایم سایبری است.

اگرچه هنوز به عنوان یک ارائه‌ی بدافزار به عنوان سرویس تأیید نشده است، اما تجزیه و تحلیل‌ها نشان می‌دهد که حرکت در این جهت در حال انجام است. معرفی کلیدهای API برای ارتباطات backend نشان دهنده‌ی تلاشی برای استانداردسازی عملیات و به طور بالقوه فعال کردن استفاده توسط اشخاص ثالث است. بررسی کد، توسعه‌ی فعال را بیشتر نشان می‌دهد و نشان می‌دهد که ممکن است در نسخه‌های آینده، ویژگی‌های اضافی و قابلیت‌های گسترش‌یافته‌ای ظاهر شوند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
24,627
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...