הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד Massiv Mobile Malware

Massiv Mobile Malware

עד Mezo ב-תוכנה זדונית לנייד, טרויאני בנקאי
לתרגם ל:

אנליסטים של אבטחת סייבר חשפו טרויאני מתוחכם לבנקאות באנדרואיד המכונה Massiv, שתוכנן לבצע התקפות השתלטות על מכשירים (DTO) שמטרתן גניבה פיננסית. הקוד הזדוני מתחזה לאפליקציות IPTV לגיטימיות, ומתמקד באנשים המחפשים שירותי טלוויזיה מקוונים.

למרות שזוהתה במספר מוגבל של קמפיינים ממוקדים, רמת האיום משמעותית. לאחר ההתקנה, Massiv מאפשרת לתוקפים לשלוט מרחוק במכשירים שנפרצו, לבצע עסקאות הונאה ולנצל ישירות את חשבונות הבנקאות הניידים של הקורבנות.

הנוזקה זוהתה בתחילה בקמפיינים המכוונים למשתמשים בפורטוגל וביוון מוקדם יותר השנה. עם זאת, ניתוח פורנזי איתר דגימות של גרסאות עד תחילת 2025, דבר המצביע על כך שפעולות בדיקה קודמות בקנה מידה קטן יותר.

איסוף אישורים מתקדם ומניפולציה של שכבות-על

Massiv משלבת יכולות הנפוצות בתוכנות זדוניות מתקדמות לבנקאות באנדרואיד. היא מאפשרת גניבת אישורים באמצעות טכניקות מרובות, כולל הזרמת מסך דרך ה-API של MediaProjection של אנדרואיד, רישום מקשים, יירוט SMS ושכבות-על מטעות המונחות מעל אפליקציות בנקאיות ופיננסיות לגיטימיות. שכבות-על אלו מבקשות ממשתמשים להזין פרטי התחברות ופרטי כרטיס אשראי.

קמפיין בולט התמקד במיוחד ב-gov.pt, אפליקציה ממשלתית פורטוגלית המשמשת לאחסון מסמכי זיהוי ולניהול המפתח הנייד הדיגיטלי (Chave Móvel Digital או CMD). הגיבוי הזדוני התחזה לממשק הרשמי וביקש את מספרי הטלפון וקודי ה-PIN של המשתמשים, ככל הנראה כדי לעקוף את תהליכי האימות של Know Your Customer (KYC).

חקירות חשפו גם מקרים בהם מידע גנוב נוצל לפתיחת חשבונות בנק חדשים על שם הקורבנות. חשבונות הונאה אלה שימשו לאחר מכן לפעולות הלבנת הון או בקשות הלוואה לא מורשות, והכל ללא מודעות הקורבנות.

יכולות שלט רחוק והתחמקות מלכידת מסך

מעבר לגניבת אישורים, Massiv פועל ככלי גישה מרחוק מתפקד במלואו. הוא מעניק לתוקפים שליטה חשאית על מכשירים נגועים תוך הצגת שכבת מסך שחורה כדי להסתיר פעילות זדונית. טכניקות אלו מנצלות את שירותי הנגישות של אנדרואיד, טקטיקה שנצפתה גם בטרויאנים בנקאיים אחרים כמו Crocodilus, Datzbro ו-Klopatra.

יישומים פיננסיים מסוימים מיישמים מנגנוני הגנה מפני לכידת מסך. כדי לעקוף הגנות אלו, Massiv פורסת טכניקה המכונה 'מצב עץ ממשק משתמש'. שיטה זו חוצה שורשי AccessibilityWindowInfo ומעבדת באופן רקורסיבי אובייקטים של AccessibilityNodeInfo כדי לשחזר ייצוג מפורט של הממשק הנראה של המכשיר.

התוכנה הזדונית מייצרת מפת JSON מובנית המכילה טקסט גלוי, תיאורי תוכן, רכיבי ממשק משתמש, קואורדינטות מסך ודגלי אינטראקציה המציינים אם רכיבים ניתנים ללחוץ, ניתנים לעריכה, ממוקדים או מופעלים. רק צמתים גלויים המכילים טקסט מועברים לתשתית הפקודה של התוקף, מה שמאפשר אינטראקציה מדויקת מרחוק באמצעות פקודות שהונפקו.

פונקציונליות זדונית מקיפה

Massiv מצוידת בערכת כלים תפעולית רחבה המאפשרת מניפולציה נרחבת של המכשיר ותחזוקה עקבית. יכולותיה כוללות:

  • הפעלה או השבתה של שכבת מסך שחור, השתקת צלילים ורטט
  • הזרמת מסך המכשיר ושליחת מידע מהמכשיר
  • ביצוע תנועות לחיצה והחלקה מרחוק
  • שינוי תוכן הלוח
  • ביטול נעילת המכשיר באמצעות אימות דפוס
  • פריסת שכבות עבור יישומים ממוקדים או מסכי נעילה
  • הורדת חבילות שכבת-על והתקנת קבצי APK נוספים
  • פתיחת הגדרות מערכת כגון אופטימיזציית סוללה, מנהל התקן ו-Play Protect
  • בקשת הרשאות SMS והתקנת חבילות
  • ניקוי מסדי נתונים של יומני המכשיר

פונקציות אלו יחד מאפשרות לתוקפים לשמור על שליטה, להתחמק מגילוי ולבצע הונאות פיננסיות בדיוק רב.

טקטיקות הפצה: דרופרס בנושא IPTV

Massiv מתפשט באמצעות קמפיינים של פישינג ב-SMS באמצעות אפליקציות דרפר המחקות שירותי IPTV. לאחר ההתקנה, ה-dropper מבקש מהקורבן להתקין עדכון 'חשוב' ומבקש אישור להתקין אפליקציות ממקורות חיצוניים.

בין הפריטים הזדוניים שזוהו:

  • IPTV24 (hfgx.mqfy.fejku) – אפליקציית Dropper
  • גוגל פליי (hobfjp.anrxf.cucm) – מטען מסיבי

ברוב המקרים המתועדים, יישומי IPTV לגיטימיים לא נפגעו. במקום זאת, המכשיר פשוט הציג תוכן אינטרנט הקשור ל-IPTV דרך WebView, ויצר אשליה של פונקציונליות בעוד שהתוכנה הזדונית פעלה ברקע.

במהלך ששת החודשים האחרונים, קמפיינים דומים בנושא טלוויזיה של מוצרי טפטוף כוונו בעיקר לספרד, פורטוגל, צרפת וטורקיה.

אינדיקטורים של מסחור ופיתוח מתמשך

Massiv נכנסת למערכת אקולוגית רוויה של תוכנות זדוניות לאנדרואיד, ומדגישה את הביקוש המתמשך לפתרונות הונאה פיננסית מוכנים לשימוש בקרב קהילות פושעי סייבר.

למרות שעדיין לא אושר כהצעה של Malware-as-a-Service, ניתוח מצביע על תנועה בכיוון זה. הכנסת מפתחות API לתקשורת backend מצביעה על מאמץ לתקנן את הפעולות ולאפשר שימוש על ידי צד שלישי. סקירת קוד חושפת עוד יותר פיתוח פעיל, מה שמאותת על כך שתכונות נוספות ויכולות מורחבות עשויות לצוץ בגרסאות עתידיות.

מגמות

הכי נצפה

תוכנה זדונית

פישינג, ספאם
24,627
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...