Malware mobile massiccio

Gli analisti della sicurezza informatica hanno scoperto un sofisticato trojan bancario per Android, noto come Massiv, progettato per eseguire attacchi di acquisizione di dispositivi (DTO) volti al furto di denaro. Il malware si maschera da legittime applicazioni IPTV, prendendo di mira gli utenti che cercano servizi di televisione online.

Sebbene identificato in un numero limitato di campagne mirate, il livello di minaccia è significativo. Una volta installato, Massiv consente agli aggressori di controllare da remoto i dispositivi compromessi, effettuare transazioni fraudolente e sfruttare direttamente i conti bancari mobili delle vittime.

Il malware è stato inizialmente rilevato in campagne mirate a utenti in Portogallo e Grecia all'inizio di quest'anno. Tuttavia, l'analisi forense ha ricondotto alcune varianti campione all'inizio del 2025, suggerendo precedenti operazioni di test su scala ridotta.

Raccolta avanzata delle credenziali e manipolazione della sovrapposizione

Massiv integra funzionalità comunemente presenti nei malware bancari avanzati per Android. Facilita il furto di credenziali attraverso molteplici tecniche, tra cui lo streaming dello schermo tramite l'API MediaProjection di Android, il keylogging, l'intercettazione di SMS e l'inserimento di overlay ingannevoli su applicazioni bancarie e finanziarie legittime. Questi overlay richiedono agli utenti di fornire credenziali di accesso e informazioni sulla carta di credito.

Una campagna degna di nota ha preso di mira specificamente gov.pt, un'applicazione governativa portoghese utilizzata per archiviare documenti di identità e gestire la Chiave Mobile Digitale (Chave Móvel Digital o CMD). L'overlay dannoso imitava l'interfaccia ufficiale e richiedeva i numeri di telefono e i codici PIN degli utenti, probabilmente per eludere i processi di verifica Know Your Customer (KYC).

Le indagini hanno inoltre rivelato casi in cui i dati rubati sono stati sfruttati per aprire nuovi conti bancari a nome delle vittime. Questi conti fraudolenti sono stati successivamente utilizzati per operazioni di riciclaggio di denaro o richieste di prestiti non autorizzate, il tutto all'insaputa delle vittime.

Capacità di controllo remoto ed elusione della cattura dello schermo

Oltre al furto di credenziali, Massiv opera come uno strumento di accesso remoto completamente funzionale. Concede agli aggressori il controllo occulto dei dispositivi infetti, visualizzando al contempo una schermata nera per nascondere le attività dannose. Queste tecniche sfruttano i servizi di accessibilità di Android, una tattica osservata anche in altri trojan bancari come Crocodilus, Datzbro e Klopatra.

Alcune applicazioni finanziarie implementano meccanismi di protezione basati sulla cattura dello schermo. Per aggirare queste difese, Massiv utilizza una tecnica denominata "modalità UI-tree". Questo metodo attraversa le radici di AccessibilityWindowInfo ed elabora ricorsivamente gli oggetti AccessibilityNodeInfo per ricostruire una rappresentazione dettagliata dell'interfaccia visibile del dispositivo.

Il malware genera una mappa JSON strutturata contenente testo visibile, descrizioni dei contenuti, elementi dell'interfaccia utente, coordinate dello schermo e flag di interazione che indicano se gli elementi sono cliccabili, modificabili, focalizzati o abilitati. Solo i nodi visibili contenenti testo vengono trasmessi all'infrastruttura di comando dell'aggressore, consentendo un'interazione remota precisa tramite i comandi impartiti.

Funzionalità dannose complete

Massiv è dotato di un ampio kit di strumenti operativi che consente un'ampia manipolazione e persistenza dei dispositivi. Le sue funzionalità includono:

• Attivazione o disattivazione di una sovrapposizione di schermo nero, disattivazione di suoni e vibrazioni
• Streaming dello schermo del dispositivo e invio di informazioni sul dispositivo
• Esecuzione di gesti di clic e scorrimento da remoto
• Modifica del contenuto degli appunti
• Sblocco del dispositivo tramite autenticazione tramite pattern
• Distribuzione di overlay per applicazioni mirate o schermate di blocco
• Scaricamento di pacchetti overlay e installazione di file APK aggiuntivi
• Apertura delle impostazioni di sistema come Ottimizzazione della batteria, Amministratore dispositivo e Play Protect
• Richiesta di autorizzazioni per l'installazione di SMS e pacchetti
• Cancellazione dei database dei registri dei dispositivi

Queste funzioni, nel loro insieme, consentono agli aggressori di mantenere il controllo, eludere il rilevamento ed eseguire frodi finanziarie con precisione.

Tattiche di distribuzione: Dropper a tema IPTV

Massiv si diffonde tramite campagne di phishing tramite SMS utilizzando applicazioni dropper che imitano i servizi IPTV. Dopo l'installazione, il dropper chiede alla vittima di installare un aggiornamento "importante" e richiede l'autorizzazione a installare applicazioni da fonti esterne.

Tra gli artefatti dannosi identificati figurano:

• IPTV24 (hfgx.mqfy.fejku) – Applicazione Dropper
• Google Play (hobfjp.anrxf.cucm) – Carico utile enorme

Nella maggior parte dei casi documentati, le applicazioni IPTV legittime non sono state compromesse. Al contrario, il dropper si limitava a visualizzare contenuti web relativi all'IPTV tramite una WebView, creando l'illusione di funzionalità mentre il malware veniva eseguito in background.

Negli ultimi sei mesi, campagne simili basate su contagocce a tema televisivo hanno preso di mira principalmente Spagna, Portogallo, Francia e Turchia.

Indicatori di commercializzazione e sviluppo in corso

Massiv entra in un ecosistema di malware Android già saturo, sottolineando la domanda persistente di soluzioni chiavi in mano contro le frodi finanziarie all'interno delle comunità dei criminali informatici.

Sebbene non sia ancora stato confermato come offerta Malware-as-a-Service, l'analisi indica un movimento in quella direzione. L'introduzione di chiavi API per la comunicazione back-end suggerisce uno sforzo per standardizzare le operazioni e potenzialmente consentire l'utilizzo da parte di terze parti. L'analisi del codice rivela inoltre uno sviluppo attivo, segnalando che funzionalità aggiuntive e capacità estese potrebbero emergere in future iterazioni.