Massiv Mobile -haittaohjelma

Kyberturvallisuusanalyytikot ovat paljastaneet hienostuneen Android-pankkitroijalaisen nimeltä Massiv, joka on suunniteltu suorittamaan laitekaappaushyökkäyksiä (DTO), joiden tarkoituksena on varastaa varkauksia. Haittaohjelma naamioituu laillisiksi IPTV-sovelluksiksi ja kohdistaa toimintansa henkilöihin, jotka etsivät televisiopalveluita verkossa.

Vaikka se on tunnistettu rajoitetussa määrässä kohdennettuja kampanjoita, uhkataso on merkittävä. Asennuksen jälkeen Massiv mahdollistaa hyökkääjien etäohjata vaarantuneita laitteita, suorittaa vilpillisiä tapahtumia ja hyödyntää suoraan uhrien mobiilipankkitilejä.

Haittaohjelma havaittiin alun perin aiemmin tänä vuonna Portugaliin ja Kreikkaan kohdistuneissa kampanjoissa. Oikeustekninen analyysi on kuitenkin jäljittänyt näytevariantit vuoden 2025 alkuun, mikä viittaa aiempiin pienempiin testausoperaatioihin.

Edistynyt tunnistetietojen keruu ja päällekkäismateriaalien manipulointi

Massiv sisältää ominaisuuksia, joita tavataan yleisesti Android-pankkisovellusten kehittyneissä haittaohjelmissa. Se mahdollistaa tunnistetietojen varastamisen useilla tekniikoilla, kuten näytön suoratoistolla Androidin MediaProjection-rajapinnan kautta, näppäinpainallusten tallentamisella, tekstiviestien sieppaamisella ja harhaanjohtavilla peittokuvilla, jotka on sijoitettu laillisten pankki- ja rahoitussovellusten päälle. Nämä peittokuvat kehottavat käyttäjiä antamaan kirjautumistiedot ja luottokorttitiedot.

Merkittävä kampanja kohdistui erityisesti gov.pt-sovellukseen, jota käytetään henkilöllisyystodistusten tallentamiseen ja digitaalisen mobiiliavaimen (Chave Móvel Digital tai CMD) hallintaan. Haitallinen peittokuva jäljitteli virallista käyttöliittymää ja pyysi käyttäjiltä puhelinnumeroita ja PIN-koodeja, todennäköisesti kiertääkseen Know Your Customer (KYC) -vahvistusprosessit.

Tutkimukset paljastivat myös tapauksia, joissa varastettuja tietoja oli hyödynnetty uusien pankkitilejen avaamiseen uhrien nimissä. Näitä vilpillisiä tilejä käytettiin myöhemmin rahanpesuun tai luvattomiin lainahakemuksiin, kaikki uhrien tietämättä.

Etäohjausominaisuudet ja näytönkaappausten välttäminen

Tunnistetietojen varastamisen lisäksi Massiv toimii täysin toimivana etäkäyttötyökaluna. Se antaa hyökkääjille salaisen hallinnan tartunnan saaneista laitteista ja näyttää samalla mustan näytön peittääkseen haitallisen toiminnan. Nämä tekniikat hyödyntävät Androidin esteettömyyspalveluita, taktiikkaa, jota on havaittu myös muissa pankkitroijalaisissa, kuten Crocodilus, Datzbro ja Klopatra.

Tietyt taloussovellukset käyttävät näytönkaappausten suojausmekanismeja. Näiden suojausten ohittamiseksi Massiv käyttää tekniikkaa, jota kutsutaan nimellä "käyttöliittymäpuutila". Tämä menetelmä käy läpi AccessibilityWindowInfo-juuria ja käsittelee rekursiivisesti AccessibilityNodeInfo-objekteja rekonstruoidakseen yksityiskohtaisen esityksen laitteen näkyvästä käyttöliittymästä.

Haittaohjelma luo strukturoidun JSON-kartan, joka sisältää näkyvää tekstiä, sisällön kuvauksia, käyttöliittymäelementtejä, näytön koordinaatteja ja vuorovaikutuslippuja, jotka osoittavat, ovatko elementit klikattavia, muokattavia, kohdistettuja vai käytössä. Vain näkyvät, tekstiä sisältävät solmut lähetetään hyökkääjän komentoinfrastruktuuriin, mikä mahdollistaa tarkan etävuorovaikutuksen annettujen komentojen avulla.

Kattava haittaohjelmien hallinta

Massiv on varustettu laajalla työkalupakin toiminnallisuudella, joka mahdollistaa laitteiden laajan manipuloinnin ja pysyvyyden. Sen ominaisuuksiin kuuluvat:

• Mustan näytön päällekkäistoiminnon aktivointi tai poistaminen käytöstä, äänten ja värinän mykistäminen
• Laitteen näytön suoratoisto ja laitetietojen lähettäminen
• Klikkaus- ja pyyhkäisyeleiden suorittaminen etänä
• Leikepöydän sisällön muokkaaminen
• Laitteen lukituksen avaaminen kuviotodennuksella
• Peittokuvien käyttöönotto kohdennetuissa sovelluksissa tai lukitusnäytöissä
• Peittokuvapakettien lataaminen ja lisä-APK-tiedostojen asentaminen
• Järjestelmäasetusten, kuten akun optimoinnin, laitteen järjestelmänvalvojan ja Play Protectin, avaaminen
• Tekstiviestien ja pakettien asennusoikeuksien pyytäminen
• Laitelokitietokantojen tyhjentäminen

Nämä toiminnot yhdessä mahdollistavat hyökkääjien hallinnan säilyttämisen, havaitsemisen välttämisen ja taloudellisten petosten tarkan toteuttamisen.

Jakelutaktiikka: IPTV-teemaiset dropperit

Massiv leviää tekstiviestihuijauskampanjoiden kautta käyttämällä IPTV-palveluita jäljitteleviä dropper-sovelluksia. Asennuksen jälkeen dropper-sovellus kehottaa uhria asentamaan "tärkeän" päivityksen ja pyytää lupaa asentaa sovelluksia ulkoisista lähteistä.

Tunnistettuihin haitallisiin esineisiin kuuluvat:

• IPTV24 (hfgx.mqfy.fejku) – Dropper-sovellus
• Google Play (hobfjp.anrxf.cucm) – Massiv-hyötykuorma

Useimmissa dokumentoiduissa tapauksissa laillisia IPTV-sovelluksia ei vaarannettu. Sen sijaan dropperi ainoastaan näytti IPTV:hen liittyvää verkkosisältöä WebView'n kautta, luoden illuusion toimivuudesta haittaohjelman suoritettaessa taustalla.

Viimeisen kuuden kuukauden aikana vastaavat televisioaiheiset dropper-kampanjat ovat kohdistuneet pääasiassa Espanjaan, Portugaliin, Ranskaan ja Turkkiin.

Kaupallistamisen ja jatkuvan kehityksen indikaattorit

Massiv astuu sisään jo ennestään kyllästyneeseen Android-haittaohjelmaekosysteemiin, mikä korostaa jatkuvaa kysyntää avaimet käteen -ratkaisuille talouspetosten torjuntaan kyberrikollisyhteisöissä.

Vaikka sitä ei ole vielä vahvistettu saataville Malware-as-a-Service -palveluna, analyysit viittaavat kehitykseen tähän suuntaan. API-avainten käyttöönotto taustajärjestelmän tiedonsiirtoa varten viittaa pyrkimykseen standardoida toimintoja ja mahdollisesti mahdollistaa kolmansien osapuolten käyttö. Koodin tarkastelu paljastaa edelleen aktiivista kehitystä, mikä viittaa siihen, että tulevissa iteraatioissa saattaa ilmetä lisäominaisuuksia ja laajennettuja ominaisuuksia.