मैसिव मोबाइल मैलवेयर

साइबर सुरक्षा विश्लेषकों ने Massiv नामक एक परिष्कृत एंड्रॉइड बैंकिंग ट्रोजन का पता लगाया है, जिसे वित्तीय चोरी के उद्देश्य से डिवाइस टेकओवर (DTO) हमलों को अंजाम देने के लिए डिज़ाइन किया गया है। यह मैलवेयर वैध IPTV एप्लिकेशन के रूप में खुद को छुपाता है और ऑनलाइन टेलीविजन सेवाओं की तलाश करने वाले व्यक्तियों को निशाना बनाता है।

हालांकि कुछ चुनिंदा अभियानों में ही इसकी पहचान हुई है, फिर भी खतरे का स्तर काफी गंभीर है। एक बार इंस्टॉल हो जाने पर, मैसिव हमलावरों को प्रभावित उपकरणों को दूर से नियंत्रित करने, धोखाधड़ी वाले लेनदेन करने और पीड़ितों के मोबाइल बैंकिंग खातों का सीधे तौर पर दुरुपयोग करने में सक्षम बनाता है।

इस मैलवेयर का पता सबसे पहले इस साल की शुरुआत में पुर्तगाल और ग्रीस में उपयोगकर्ताओं को निशाना बनाने वाले अभियानों में चला था। हालांकि, फोरेंसिक विश्लेषण से पता चला है कि इसके नमूने 2025 की शुरुआत के हैं, जो पहले छोटे पैमाने पर परीक्षण अभियानों का संकेत देते हैं।

उन्नत क्रेडेंशियल हार्वेस्टिंग और ओवरले हेरफेर

Massiv में उन्नत एंड्रॉइड बैंकिंग मैलवेयर में पाई जाने वाली क्षमताएं शामिल हैं। यह एंड्रॉइड के मीडियाप्रोजेक्शन एपीआई के माध्यम से स्क्रीन स्ट्रीमिंग, कीलॉगिंग, एसएमएस अवरोधन और वैध बैंकिंग और वित्तीय अनुप्रयोगों पर लगाए गए भ्रामक ओवरले सहित कई तकनीकों के माध्यम से क्रेडेंशियल चोरी को सुविधाजनक बनाता है। ये ओवरले उपयोगकर्ताओं को लॉगिन क्रेडेंशियल और क्रेडिट कार्ड की जानकारी जमा करने के लिए प्रेरित करते हैं।

एक उल्लेखनीय अभियान ने विशेष रूप से gov.pt को निशाना बनाया, जो पुर्तगाली सरकार का एक एप्लिकेशन है जिसका उपयोग पहचान दस्तावेजों को संग्रहीत करने और डिजिटल मोबाइल कुंजी (Chave Móvel Digital या CMD) को प्रबंधित करने के लिए किया जाता है। दुर्भावनापूर्ण ओवरले ने आधिकारिक इंटरफ़ेस का रूप धारण किया और उपयोगकर्ताओं के फ़ोन नंबर और पिन कोड मांगे, संभवतः ग्राहक को जानें (KYC) सत्यापन प्रक्रियाओं को दरकिनार करने के लिए।

जांच में ऐसे मामले भी सामने आए जहां चोरी किए गए डेटा का इस्तेमाल पीड़ितों के नाम पर नए बैंक खाते खोलने के लिए किया गया था। इन फर्जी खातों का इस्तेमाल बाद में मनी लॉन्ड्रिंग या अनधिकृत ऋण आवेदनों के लिए किया गया, और यह सब पीड़ितों की जानकारी के बिना हुआ।

रिमोट कंट्रोल क्षमताएं और स्क्रीन कैप्चर से बचाव

क्रेडेंशियल चोरी के अलावा, मैसिव एक पूर्णतः कार्यात्मक रिमोट एक्सेस टूल के रूप में काम करता है। यह हमलावरों को संक्रमित उपकरणों पर गुप्त नियंत्रण प्रदान करता है, जबकि दुर्भावनापूर्ण गतिविधि को छिपाने के लिए एक काली स्क्रीन ओवरले प्रदर्शित करता है। ये तकनीकें एंड्रॉइड एक्सेसिबिलिटी सेवाओं का लाभ उठाती हैं, एक ऐसी रणनीति जो क्रोकोडिलस, डेट्ज़ब्रो और क्लोपात्रा जैसे अन्य बैंकिंग ट्रोजन में भी देखी गई है।

कुछ वित्तीय एप्लिकेशन स्क्रीन-कैप्चर सुरक्षा तंत्र लागू करते हैं। इन सुरक्षा उपायों को दरकिनार करने के लिए, मैसिव 'यूआई-ट्री मोड' नामक तकनीक का उपयोग करता है। यह विधि एक्सेसिबिलिटीविंडोइन्फो रूट्स को ट्रैवर्स करती है और डिवाइस के दृश्य इंटरफ़ेस का विस्तृत विवरण तैयार करने के लिए एक्सेसिबिलिटीनोडइन्फो ऑब्जेक्ट्स को पुनरावर्ती रूप से संसाधित करती है।

यह मैलवेयर एक संरचित JSON मैप तैयार करता है जिसमें दृश्य पाठ, सामग्री विवरण, UI तत्व, स्क्रीन निर्देशांक और इंटरैक्शन फ़्लैग शामिल होते हैं जो यह दर्शाते हैं कि तत्व क्लिक करने योग्य, संपादन योग्य, फ़ोकस में या सक्षम हैं या नहीं। केवल पाठ युक्त दृश्य नोड्स ही हमलावर के कमांड इन्फ्रास्ट्रक्चर को भेजे जाते हैं, जिससे जारी किए गए कमांड के माध्यम से सटीक रिमोट इंटरैक्शन संभव हो पाता है।

व्यापक दुर्भावनापूर्ण कार्यक्षमता

मैसिव व्यापक परिचालन टूलकिट से सुसज्जित है जो व्यापक डिवाइस हेरफेर और निरंतरता को सक्षम बनाता है। इसकी क्षमताओं में शामिल हैं:

• ब्लैक स्क्रीन ओवरले को सक्रिय या निष्क्रिय करना, आवाज़ और कंपन को म्यूट करना
• डिवाइस की स्क्रीन को स्ट्रीम करना और डिवाइस की जानकारी भेजना
• क्लिक और स्वाइप जेस्चर को दूर से निष्पादित करना
• क्लिपबोर्ड की सामग्री में संशोधन करना
• पैटर्न प्रमाणीकरण का उपयोग करके डिवाइस को अनलॉक करना
• लक्षित अनुप्रयोगों या लॉक स्क्रीन के लिए ओवरले तैनात करना
• ओवरले पैकेज डाउनलोड करना और अतिरिक्त APK फ़ाइलें इंस्टॉल करना
• बैटरी ऑप्टिमाइज़ेशन, डिवाइस एडमिनिस्ट्रेटर और प्ले प्रोटेक्ट जैसी सिस्टम सेटिंग्स खोलना
• एसएमएस और पैकेज इंस्टॉलेशन की अनुमतियों का अनुरोध किया जा रहा है
• डिवाइस लॉग डेटाबेस साफ़ करना

ये सभी कार्य मिलकर हमलावरों को नियंत्रण बनाए रखने, पकड़े जाने से बचने और सटीक रूप से वित्तीय धोखाधड़ी को अंजाम देने में सक्षम बनाते हैं।

वितरण रणनीतियाँ: आईपीटीवी-थीम वाले ड्रॉपर

Massiv, IPTV सेवाओं की नकल करने वाले ड्रॉपर एप्लिकेशन का उपयोग करके SMS फ़िशिंग अभियानों के माध्यम से फैलता है। इंस्टॉल होने के बाद, ड्रॉपर पीड़ित को एक 'महत्वपूर्ण' अपडेट इंस्टॉल करने के लिए कहता है और बाहरी स्रोतों से एप्लिकेशन इंस्टॉल करने की अनुमति मांगता है।

पहचाने गए दुर्भावनापूर्ण तत्वों में निम्नलिखित शामिल हैं:

• IPTV24 (hfgx.mqfy.fejku) – ड्रॉपर एप्लिकेशन
• गूगल प्ले (hobfjp.anrxf.cucm) – भारी पेलोड

अधिकांश दर्ज मामलों में, वैध आईपीटीवी एप्लिकेशन प्रभावित नहीं हुए थे। इसके बजाय, मैलवेयर ने वेबव्यू के माध्यम से आईपीटीवी से संबंधित वेब सामग्री प्रदर्शित की, जिससे कार्यक्षमता का भ्रम पैदा हुआ जबकि मैलवेयर पृष्ठभूमि में चलता रहा।

पिछले छह महीनों में, इसी तरह के टीवी-थीम वाले ड्रॉप-डाउन अभियान मुख्य रूप से स्पेन, पुर्तगाल, फ्रांस और तुर्की को लक्षित करते रहे हैं।

व्यावसायीकरण और सतत विकास के संकेतक

मैसिव पहले से ही संतृप्त एंड्रॉइड मैलवेयर इकोसिस्टम में प्रवेश कर रहा है, जो साइबर अपराधी समुदायों के भीतर तैयार वित्तीय धोखाधड़ी समाधानों की निरंतर मांग को रेखांकित करता है।

हालांकि इसे अभी तक मैलवेयर-एज़-ए-सर्विस के रूप में पुष्टि नहीं मिली है, लेकिन विश्लेषण से संकेत मिलता है कि इस दिशा में प्रगति हो रही है। बैकएंड संचार के लिए एपीआई कुंजी की शुरूआत से पता चलता है कि संचालन को मानकीकृत करने और संभवतः तृतीय-पक्ष उपयोग को सक्षम करने का प्रयास किया जा रहा है। कोड समीक्षा से सक्रिय विकास का भी पता चलता है, जिससे संकेत मिलता है कि भविष्य के संस्करणों में अतिरिक्त सुविधाएँ और विस्तारित क्षमताएँ आ सकती हैं।