Massiv Mobile ļaunprogrammatūra

Kiberdrošības analītiķi ir atklājuši sarežģītu Android banku Trojas zirgu, kas pazīstams kā Massiv un ir izstrādāts, lai veiktu ierīču pārņemšanas (DTO) uzbrukumus, kuru mērķis ir finanšu zādzības. Ļaunprogrammatūra maskējas kā likumīgas IPTV lietojumprogrammas, mērķējot uz personām, kas meklē tiešsaistes televīzijas pakalpojumus.

Lai gan tas ir identificēts ierobežotā skaitā mērķtiecīgu kampaņu, apdraudējuma līmenis ir ievērojams. Pēc instalēšanas Massiv ļauj uzbrucējiem attālināti kontrolēt apdraudētas ierīces, veikt krāpnieciskus darījumus un tieši izmantot upuru mobilo banku kontus.

Ļaunprogrammatūra sākotnēji tika atklāta kampaņās, kas bija vērstas pret lietotājiem Portugālē un Grieķijā šī gada sākumā. Tomēr tiesu medicīnas analīze ir izsekojusi paraugu variantus līdz 2025. gada sākumam, kas liecina par iepriekšējām mazāka mēroga testēšanas operācijām.

Paplašināta akreditācijas datu ieguve un pārklājuma manipulācija

Massiv ietver iespējas, kas parasti atrodamas uzlabotā Android banku ļaunprogrammatūrā. Tas atvieglo akreditācijas datu zādzību, izmantojot vairākas metodes, tostarp ekrāna straumēšanu, izmantojot Android MediaProjection API, taustiņsitienu bloķēšanu, īsziņu pārtveršanu un maldinošus pārklājumus, kas novietoti virs likumīgām banku un finanšu lietojumprogrammām. Šie pārklājumi aicina lietotājus iesniegt pieteikšanās akreditācijas datus un kredītkartes informāciju.

Ievērojama kampaņa bija īpaši vērsta pret gov.pt — Portugāles valdības lietojumprogrammu, ko izmanto identifikācijas dokumentu glabāšanai un digitālās mobilās atslēgas (Chave Móvel Digital jeb CMD) pārvaldībai. Ļaunprātīgais pārklājums atdarināja oficiālo saskarni un pieprasīja lietotāju tālruņu numurus un PIN kodus, visticamāk, lai apietu “Pazīsti savu klientu” (KYC) verifikācijas procesus.

Izmeklēšanā tika atklāti arī gadījumi, kad nozagti dati tika izmantoti, lai atvērtu jaunus bankas kontus upuru vārdā. Šie krāpnieciskie konti pēc tam tika izmantoti nelikumīgi iegūtu līdzekļu legalizācijas operācijām vai neatļautiem aizdevumu pieteikumiem, to visu bez upuru ziņas.

Tālvadības iespējas un ekrāna tveršanas apiešana

Papildus akreditācijas datu zādzībai Massiv darbojas kā pilnvērtīgs attālās piekļuves rīks. Tas piešķir uzbrucējiem slepenu kontroli pār inficētām ierīcēm, vienlaikus parādot melnu ekrāna pārklājumu, lai slēptu ļaunprātīgu darbību. Šīs metodes izmanto Android pieejamības pakalpojumus, taktiku, kas novērota arī citos banku Trojas zirgos, piemēram, Crocodilus, Datzbro un Klopatra.

Dažas finanšu lietojumprogrammas ievieš ekrānuzņēmumu aizsardzības mehānismus. Lai apietu šos aizsardzības mehānismus, Massiv izmanto metodi, ko sauc par “lietotāja saskarnes koka režīmu”. Šī metode šķērso AccessibilityWindowInfo saknes un rekursīvi apstrādā AccessibilityNodeInfo objektus, lai rekonstruētu detalizētu ierīces redzamās saskarnes attēlojumu.

Ļaunprogrammatūra ģenerē strukturētu JSON karti, kas satur redzamu tekstu, satura aprakstus, lietotāja interfeisa elementus, ekrāna koordinātas un mijiedarbības karodziņus, kas norāda, vai elementi ir noklikšķināmi, rediģējami, fokusēti vai iespējoti. Uzbrucēja komandu infrastruktūrai tiek pārsūtīti tikai redzami mezgli, kas satur tekstu, nodrošinot precīzu attālinātu mijiedarbību, izmantojot izdotās komandas.

Visaptveroša ļaunprātīgas programmatūras funkcionalitāte

Massiv ir aprīkots ar plašu darbības rīku komplektu, kas nodrošina plašas ierīču manipulācijas un noturību. Tā iespējas ietver:

• Melna ekrāna pārklājuma aktivizēšana vai atspējošana, skaņu un vibrācijas izslēgšana
• Ierīces ekrāna straumēšana un ierīces informācijas sūtīšana
• Klikšķināšanas un vilkšanas žestu veikšana attālināti
• Starpliktuves satura modificēšana
• Ierīces atbloķēšana, izmantojot autentifikāciju ar modeli
• Pārklājumu izvietošana mērķtiecīgām lietojumprogrammām vai bloķēšanas ekrāniem
• Pārklājuma pakotņu lejupielāde un papildu APK failu instalēšana
• Sistēmas iestatījumu, piemēram, akumulatora optimizācijas, ierīces administratora un Play Protect, atvēršana
• SMS un pakotņu instalēšanas atļauju pieprasīšana
• Ierīču žurnālu datubāzu notīrīšana

Šīs funkcijas kopā ļauj uzbrucējiem saglabāt kontroli, izvairīties no atklāšanas un precīzi veikt finanšu krāpšanu.

Izplatīšanas taktika: IPTV tematikas pilinātāji

Massiv izplatās ar īsziņu pikšķerēšanas kampaņu palīdzību, izmantojot dropper lietotnes, kas atdarina IPTV pakalpojumus. Pēc instalēšanas dropper lietotne aicina upuri instalēt “svarīgu” atjauninājumu un pieprasa atļauju instalēt lietotnes no ārējiem avotiem.

Identificētie ļaunprātīgie artefakti ietver:

• IPTV24 (hfgx.mqfy.fejku) – Dropper lietotne
• Google Play (hobfjp.anrxf.cucm) — Massiv lietderīgā slodze

Vairumā dokumentēto gadījumu likumīgas IPTV lietojumprogrammas netika apdraudētas. Tā vietā nomešanas rīks vienkārši parādīja ar IPTV saistītu tīmekļa saturu, izmantojot WebView, radot funkcionalitātes ilūziju, kamēr ļaunprogrammatūra darbojās fonā.

Pēdējo sešu mēnešu laikā līdzīgas ar TV tematiku saistītas kampaņas galvenokārt ir bijušas vērstas uz Spāniju, Portugāli, Franciju un Turciju.

Komercializācijas un notiekošās attīstības rādītāji

Massiv ienāk jau tā piesātinātajā Android ļaunprogrammatūras ekosistēmā, uzsverot pastāvīgo pieprasījumu pēc gataviem finanšu krāpšanas risinājumiem kibernoziedznieku kopienās.

Lai gan vēl nav apstiprināts, ka tas būs pieejams kā ļaunprogrammatūra kā pakalpojums, analīze liecina par virzību šajā virzienā. API atslēgu ieviešana aizmugursistēmas komunikācijai liecina par centieniem standartizēt darbības un, iespējams, nodrošināt trešo pušu lietošanu. Koda pārskatīšana arī atklāj aktīvu izstrādi, kas signalizē, ka turpmākajās iterācijās varētu parādīties papildu funkcijas un paplašinātas iespējas.