„Massiv Mobile“ kenkėjiška programa

Kibernetinio saugumo analitikai atskleidė sudėtingą „Android“ bankininkystės Trojos arklį, vadinamą „Massiv“, sukurtą vykdyti įrenginių perėmimo (DTO) atakas, skirtas finansinėms vagystėms. Kenkėjiška programa maskuojasi kaip teisėtos IPTV programos, nukreiptos į asmenis, ieškančius internetinės televizijos paslaugų.

Nors ši programa buvo nustatyta tik keliose tikslinėse kampanijose, grėsmės lygis yra didelis. Įdiegus „Massiv“, užpuolikai gali nuotoliniu būdu valdyti pažeistus įrenginius, atlikti nesąžiningas operacijas ir tiesiogiai išnaudoti aukų mobiliosios bankininkystės paskyras.

Kenkėjiška programa iš pradžių buvo aptikta kampanijose, nukreiptose į vartotojus Portugalijoje ir Graikijoje, anksčiau šiais metais. Tačiau teismo ekspertizės analizė parodė, kad pavyzdžių variantai atsirado 2025 m. pradžioje, o tai rodo ankstesnes mažesnio masto testavimo operacijas.

Išplėstinis kredencialų rinkimas ir perdengimo manipuliavimas

„Massiv“ apjungia galimybes, būdingas pažangioms „Android“ bankininkystės kenkėjiškoms programoms. Ji palengvina prisijungimo duomenų vagystę įvairiais būdais, įskaitant ekrano transliaciją per „Android“ „MediaProjection“ API, klavišų paspaudimų stebėjimą, SMS žinučių perėmimą ir apgaulingas uždangas, dedamas ant teisėtų bankininkystės ir finansinių programų. Šios uždangos ragina vartotojus pateikti prisijungimo duomenis ir kredito kortelės informaciją.

Žymi kampanija buvo specialiai nukreipta į gov.pt – Portugalijos vyriausybės programą, naudojamą asmens tapatybės dokumentams saugoti ir skaitmeniniam mobiliajam raktui („Chave Móvel Digital“ arba CMD) valdyti. Kenkėjiška programa apsimetinėjo oficialia sąsaja ir prašė vartotojų telefono numerių bei PIN kodų, taip greičiausiai apeidama „Pažink savo klientą“ (KYC) patvirtinimo procesus.

Tyrimai taip pat atskleidė atvejų, kai pavogti duomenys buvo panaudoti atidarant naujas banko sąskaitas aukų vardu. Šios apgaulingos sąskaitos vėliau buvo panaudotos pinigų plovimo operacijoms arba neteisėtoms paskolų paraiškoms, apie tai nežinant aukoms.

Nuotolinio valdymo galimybės ir ekrano kopijų vengimas

Be kredencialų vagystės, „Massiv“ veikia kaip visavertė nuotolinės prieigos priemonė. Ji suteikia užpuolikams slaptą užkrėstų įrenginių valdymą, rodydama juodą ekraną, kad paslėptų kenkėjišką veiklą. Šios technikos išnaudoja „Android“ pritaikymo neįgaliesiems paslaugas – taktiką, pastebėtą ir kituose bankininkystės Trojos arkliuose, tokiuose kaip „Crocodilus“, „Datzbro“ ir „Klopatra“.

Kai kurios finansinės programos įdiegia ekrano kopijų apsaugos mechanizmus. Norėdama apeiti šias apsaugos priemones, „Massiv“ naudoja techniką, vadinamą „UI medžio režimu“. Šis metodas peržvelgia „AccessibilityWindowInfo“ šaknis ir rekursyviai apdoroja „AccessibilityNodeInfo“ objektus, kad atkurtų išsamų įrenginio matomos sąsajos vaizdą.

Kenkėjiška programa sukuria struktūrizuotą JSON žemėlapį, kuriame yra matomas tekstas, turinio aprašymai, vartotojo sąsajos elementai, ekrano koordinatės ir sąveikos žymės, nurodančios, ar elementus galima spustelėti, redaguoti, sufokusuoti ar įjungti. Į užpuoliko komandų infrastruktūrą perduodami tik matomi mazgai su tekstu, o tai leidžia tiksliai nuotoliniu būdu sąveikauti per išduodamas komandas.

Išsami kenkėjiška funkcija

„Massiv“ aprūpintas plačiu operacinių įrankių rinkiniu, leidžiančiu plačiai valdyti įrenginius ir užtikrinti jų stabilumą. Jo galimybės apima:

• Juodo ekrano perdengimo įjungimas arba išjungimas, garsų ir vibracijos nutildymas
• Įrenginio ekrano transliacija ir įrenginio informacijos siuntimas
• Spustelėjimo ir braukimo gestų atlikimas nuotoliniu būdu
• Mainų lapo turinio keitimas
• Įrenginio atrakinimas naudojant autentifikavimo šabloną
• Perdangų diegimas tikslinėms programoms arba užrakinimo ekranams
• Atsisiunčiami perdangos paketai ir diegiami papildomi APK failai
• Sistemos nustatymų, tokių kaip akumuliatoriaus optimizavimas, įrenginio administratorius ir „Play Protect“, atidarymas
• SMS ir paketų diegimo leidimų užklausa
• Įrenginių žurnalų duomenų bazių valymas

Šios funkcijos kartu leidžia užpuolikams išlaikyti kontrolę, išvengti aptikimo ir tiksliai vykdyti finansinį sukčiavimą.

Platinimo taktika: IPTV tematikos lašintuvai

„Massiv“ plinta per SMS žinučių sukčiavimo kampanijas, naudodama IPTV paslaugas imituojančias programas. Įdiegus programą, programa paragina auką įdiegti „svarbų“ atnaujinimą ir prašo leidimo įdiegti programas iš išorinių šaltinių.

Identifikuoti kenkėjiški artefaktai apima:

• IPTV24 (hfgx.mqfy.fejku) – lašintuvo programa
• „Google Play“ (hobfjp.anrxf.cucm) – „Massiv“ naudingoji apkrova

Daugeliu dokumentuotų atvejų teisėtos IPTV programos nebuvo pažeistos. Vietoj to, programa tiesiog rodė su IPTV susijusį žiniatinklio turinį per „WebView“, sukurdama funkcionalumo iliuziją, kol kenkėjiška programa veikė fone.

Per pastaruosius šešis mėnesius panašios televizijos tematikos reklamos kampanijos daugiausia buvo nukreiptos į Ispaniją, Portugaliją, Prancūziją ir Turkiją.

Komercinės veiklos ir nuolatinės plėtros rodikliai

„Massiv“ patenka į jau persotintą „Android“ kenkėjiškų programų ekosistemą, pabrėždama nuolatinę visapusiškų finansinių sukčiavimo sprendimų paklausą kibernetinių nusikaltėlių bendruomenėse.

Nors dar nepatvirtinta, kad tai bus „kenkėjiška programa kaip paslauga“, analizė rodo judėjimą ta linkme. API raktų, skirtų vidinėms komunikacijoms, įdiegimas rodo pastangas standartizuoti operacijas ir potencialiai sudaryti sąlygas trečiųjų šalių naudojimui. Kodo peržiūra taip pat atskleidžia aktyvų kūrimą, o tai rodo, kad būsimose versijose gali atsirasti papildomų funkcijų ir išplėstų galimybių.