Massiv Mobile kártevő
Kiberbiztonsági elemzők lelepleztek egy kifinomult, Massiv néven ismert Android banki trójai vírust, amelyet pénzügyi lopások céljából eszközátvételi (DTO) támadások végrehajtására terveztek. A rosszindulatú program legitim IPTV-alkalmazásoknak álcázza magát, és online televíziós szolgáltatásokat kereső személyeket céloz meg.
Bár csak korlátozott számú, célzott kampányban azonosították, a fenyegetettségi szint jelentős. A telepítés után a Massiv lehetővé teszi a támadók számára, hogy távolról irányítsák a feltört eszközöket, csalárd tranzakciókat hajtsanak végre, és közvetlenül kihasználják az áldozatok mobilbanki számláit.
A rosszindulatú programot először Portugáliában és Görögországban célzott kampányokban észlelték idén év elején. A kriminalisztikai elemzés azonban a mintaváltozatokat 2025 elejére vezette vissza, ami korábbi kisebb léptékű tesztelési műveletekre utal.
Tartalomjegyzék
Speciális hitelesítő adatok gyűjtögetése és átfedés-manipuláció
A Massiv olyan képességeket tartalmaz, amelyek megszokottak a fejlett Android banki rosszindulatú programokban. Több technikával is lehetővé teszi a hitelesítő adatok ellopását, beleértve a képernyő streamelését az Android MediaProjection API-ján keresztül, a billentyűleütés-naplózást, az SMS-lehallgatást és a megtévesztő rétegeket, amelyek legitim banki és pénzügyi alkalmazásokra helyeznek. Ezek a rétegek arra kérik a felhasználókat, hogy adják meg bejelentkezési adataikat és hitelkártyaadataikat.
Egy figyelemre méltó kampány kifejezetten a gov.pt-t vette célba, egy portugál kormányzati alkalmazást, amelyet személyazonosító okmányok tárolására és a digitális mobilkulcs (Chave Móvel Digital vagy CMD) kezelésére használnak. A rosszindulatú átfedés a hivatalos felülettel utánozta magát, és a felhasználók telefonszámát és PIN-kódját kérte, valószínűleg megkerülve az „Ismerd meg az ügyfeledet” (KYC) ellenőrzési folyamatokat.
A nyomozások olyan eseteket is feltártak, amikor ellopott adatokat használtak fel új bankszámlák megnyitására az áldozatok nevére. Ezeket a csalárd számlákat később pénzmosási műveletekre vagy jogosulatlan hitelkérelmekre használták fel, mindezt az áldozatok tudta nélkül.
Távoli vezérlési lehetőségek és képernyőkép-elkerülő funkció
A hitelesítő adatok ellopásán túl a Massiv teljes értékű távoli hozzáférési eszközként is működik. Titkos irányítást biztosít a támadóknak a fertőzött eszközök felett, miközben egy fekete képernyőt jelenít meg a rosszindulatú tevékenységek elrejtése érdekében. Ezek a technikák az Android akadálymentesítési szolgáltatásait használják ki, ezt a taktikát más banki trójai programoknál, például a Crocodilusnál, a Datzbronál és a Klopatránál is megfigyelték.
Bizonyos pénzügyi alkalmazások képernyőkép-védelmi mechanizmusokat alkalmaznak. Ezen védelmi mechanizmusok megkerülésére a Massiv egy „UI-fa mód” néven ismert technikát alkalmaz. Ez a metódus bejárja az AccessibilityWindowInfo gyökereit, és rekurzívan feldolgozza az AccessibilityNodeInfo objektumokat az eszköz látható felületének részletes ábrázolásának rekonstruálásához.
A kártevő egy strukturált JSON-térképet generál, amely látható szöveget, tartalomleírásokat, felhasználói felület elemeket, képernyő-koordinátákat és interakciós jelzőket tartalmaz, amelyek jelzik, hogy az elemek kattinthatók, szerkeszthetők, fókuszban vannak-e vagy engedélyezettek. Csak a szöveget tartalmazó látható csomópontok kerülnek továbbításra a támadó parancsinfrastruktúrájához, lehetővé téve a precíz távoli interakciót a kiadott parancsokon keresztül.
Átfogó rosszindulatú funkciók
A Massiv széleskörű működési eszköztárral van felszerelve, amely lehetővé teszi az eszközök széleskörű kezelését és megőrzését. Képességei többek között:
- Fekete képernyő átfedés aktiválása vagy letiltása, hangok és rezgés némítása
- Az eszköz képernyőjének streamelése és az eszközadatok küldése
- Kattintási és húzási mozdulatok távoli végrehajtása
- Vágólap tartalmának módosítása
- Eszköz feloldása mintahitelesítéssel
- Átfedések telepítése célzott alkalmazásokhoz vagy zárolási képernyőkhöz
- Átfedő csomagok letöltése és további APK fájlok telepítése
- Rendszerbeállítások, például az Akkumulátoroptimalizálás, az Eszközadminisztrátor és a Play Protect megnyitása
- SMS és csomagtelepítési engedélyek kérése
- Eszköznapló-adatbázisok törlése
Ezek a funkciók együttesen lehetővé teszik a támadók számára az irányítás fenntartását, az észlelés elkerülését és a pénzügyi csalások precíz végrehajtását.
Terjesztési taktika: IPTV-témájú Droppers
A Massiv SMS-ben küldött adathalász kampányokon keresztül terjed, olyan dropper alkalmazásokat használva, amelyek IPTV szolgáltatásokat utánoznak. A telepítés után a dropper arra kéri az áldozatot, hogy telepítsen egy „fontos” frissítést, és engedélyt kér külső forrásokból származó alkalmazások telepítésére.
Az azonosított rosszindulatú tárgyak a következők:
- IPTV24 (hfgx.mqfy.fejku) – Dropper alkalmazás
- Google Play (hobfjp.anrxf.cucm) – Massiv hasznos teher
A legtöbb dokumentált esetben a legitim IPTV-alkalmazásokat nem támadták meg. Ehelyett a dropper csupán IPTV-vel kapcsolatos webes tartalmat jelenített meg egy WebView-n keresztül, a funkcionalitás illúzióját keltve, miközben a rosszindulatú program a háttérben futott.
Az elmúlt hat hónapban hasonló tévés témájú dropperkampányok elsősorban Spanyolországot, Portugáliát, Franciaországot és Törökországot célozták meg.
Kereskedelmi forgalomba hozatal és folyamatos fejlesztés mutatói
A Massiv belép egy már amúgy is telített Android kártevő-ökoszisztémába, ami rávilágít a kulcsrakész pénzügyi csalás elleni megoldások iránti folyamatos keresletre a kiberbűnözői közösségekben.
Bár még nem erősítették meg, hogy Malware-as-a-Service (Malware-as-a-Service) szolgáltatásként is elérhető lesz, az elemzések azt mutatják, hogy ebbe az irányba haladunk. Az API-kulcsok bevezetése a háttérkommunikációhoz a műveletek szabványosítására és a harmadik fél általi felhasználás lehetővé tételére irányuló erőfeszítésekre utal. A kód áttekintése továbbá aktív fejlesztést tár fel, ami arra utal, hogy további funkciók és kibővített képességek jelenhetnek meg a jövőbeli iterációkban.
