Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware Masovni mobilni zlonamjerni softver

Masovni mobilni zlonamjerni softver

Do Mezo. Mobilni malware, Bankarski trojanac. godine
Prevedi na:

Analitičari kibernetičke sigurnosti otkrili su sofisticirani Android bankarski trojanac poznat kao Massiv, dizajniran za izvršavanje napada preuzimanja uređaja (DTO) usmjerenih na financijsku krađu. Zlonamjerni softver se maskira u legitimne IPTV aplikacije, ciljajući pojedince koji traže online televizijske usluge.

Iako je identificiran u ograničenom broju ciljanih kampanja, razina prijetnje je značajna. Nakon instalacije, Massiv omogućuje napadačima daljinsko upravljanje kompromitiranim uređajima, provođenje lažnih transakcija i izravno iskorištavanje mobilnih bankovnih računa žrtava.

Zlonamjerni softver je prvobitno otkriven u kampanjama usmjerenim na korisnike u Portugalu i Grčkoj ranije ove godine. Međutim, forenzička analiza je pratila uzorke varijanti do početka 2025., što sugerira prethodne operacije testiranja manjeg opsega.

Napredno prikupljanje vjerodajnica i manipulacija preklapanjem

Massiv uključuje mogućnosti koje se obično nalaze u naprednom Android bankarskom zlonamjernom softveru. Omogućuje krađu vjerodajnica putem više tehnika, uključujući streaming zaslona putem Androidovog MediaProjection API-ja, bilježenje tipki, presretanje SMS-ova i obmanjujuće slojeve postavljene preko legitimnih bankarskih i financijskih aplikacija. Ovi slojevi potiču korisnike da unesu vjerodajnice za prijavu i podatke o kreditnoj kartici.

Značajna kampanja bila je posebno usmjerena na gov.pt, aplikaciju portugalske vlade koja se koristi za pohranu identifikacijskih dokumenata i upravljanje digitalnim mobilnim ključem (Chave Móvel Digital ili CMD). Zlonamjerni sloj oponašao je službeno sučelje i tražio telefonske brojeve i PIN kodove korisnika, vjerojatno kako bi zaobišao procese provjere korisnika (KYC).

Istrage su također otkrile slučajeve u kojima su ukradeni podaci iskorišteni za otvaranje novih bankovnih računa na imena žrtava. Ti lažni računi su potom korišteni za operacije pranja novca ili neovlaštene zahtjeve za kredite, sve bez znanja žrtava.

Mogućnosti daljinskog upravljanja i izbjegavanje snimanja zaslona

Osim krađe vjerodajnica, Massiv djeluje kao potpuno funkcionalan alat za udaljeni pristup. Omogućuje napadačima prikrivenu kontrolu nad zaraženim uređajima dok prikazuje crni ekran kako bi prikrio zlonamjernu aktivnost. Ove tehnike iskorištavaju Android usluge pristupačnosti, taktika koja je uočena i kod drugih bankarskih trojanaca kao što su Crocodilus, Datzbro i Klopatra.

Određene financijske aplikacije implementiraju mehanizme zaštite od snimanja zaslona. Kako bi zaobišao te obrane, Massiv koristi tehniku zvanu 'UI-tree način rada'. Ova metoda prolazi kroz korijene AccessibilityWindowInfo i rekurzivno obrađuje objekte AccessibilityNodeInfo kako bi rekonstruirala detaljan prikaz vidljivog sučelja uređaja.

Zlonamjerni softver generira strukturiranu JSON mapu koja sadrži vidljivi tekst, opise sadržaja, elemente korisničkog sučelja, koordinate zaslona i zastavice interakcije koje pokazuju jesu li elementi dostupni za klikanje, uređivanje, fokusiranje ili omogućeni. Samo vidljivi čvorovi koji sadrže tekst prenose se napadačevoj naredbenoj infrastrukturi, omogućujući preciznu udaljenu interakciju putem izdanih naredbi.

Sveobuhvatna zlonamjerna funkcionalnost

Massiv je opremljen širokim skupom operativnih alata koji omogućuje opsežnu manipulaciju uređajima i trajnost. Njegove mogućnosti uključuju:

  • Aktiviranje ili onemogućavanje crnog prekrivanja zaslona, isključivanje zvukova i vibracije
  • Streaming zaslona uređaja i slanje informacija o uređaju
  • Daljinsko izvođenje gesti klika i prevlačenja
  • Izmjena sadržaja međuspremnika
  • Otključavanje uređaja pomoću autentifikacije uzorkom
  • Implementacija slojeva za ciljane aplikacije ili zaključane zaslone
  • Preuzimanje paketa prekrivanja i instaliranje dodatnih APK datoteka
  • Otvaranje postavki sustava kao što su Optimizacija baterije, Administrator uređaja i Play Protect
  • Zahtjev za dopuštenja za SMS i instalaciju paketa
  • Brisanje baza podataka zapisnika uređaja

Ove funkcije zajedno omogućuju napadačima da održe kontrolu, izbjegnu otkrivanje i precizno izvrše financijske prijevare.

Taktike distribucije: IPTV-tematski dropperi

Massiv se širi putem SMS phishing kampanja koristeći aplikacije za slanje poruka koje imitiraju IPTV usluge. Nakon instalacije, aplikacija za slanje poruka potiče žrtvu da instalira 'važno' ažuriranje i traži dopuštenje za instaliranje aplikacija iz vanjskih izvora.

Identificirani zlonamjerni artefakti uključuju:

  • IPTV24 (hfgx.mqfy.fejku) – Aplikacija Dropper
  • Google Play (hobfjp.anrxf.cucm) – Masivni korisni teret

U većini dokumentiranih slučajeva, legitimne IPTV aplikacije nisu bile kompromitirane. Umjesto toga, dropper je samo prikazivao web sadržaj vezan uz IPTV putem WebViewa, stvarajući iluziju funkcionalnosti dok se zlonamjerni softver izvršavao u pozadini.

Tijekom proteklih šest mjeseci, slične TV-tematske dropper kampanje prvenstveno su bile usmjerene na Španjolsku, Portugal, Francusku i Tursku.

Pokazatelji komercijalizacije i kontinuiranog razvoja

Massiv ulazi u već zasićen ekosustav zlonamjernog softvera za Android, naglašavajući stalnu potražnju za gotovim rješenjima za financijske prijevare unutar zajednica kibernetičkog kriminala.

Iako još nije potvrđeno kao ponuda Malware-as-a-Service, analiza ukazuje na kretanje u tom smjeru. Uvođenje API ključeva za pozadinsku komunikaciju sugerira nastojanje za standardizaciju operacija i potencijalno omogućavanje korištenja trećim stranama. Pregled koda dodatno otkriva aktivan razvoj, što signalizira da bi se u budućim iteracijama mogle pojaviti dodatne značajke i proširene mogućnosti.

U trendu

Nagledanije

Učitavam...