Perisian Hasad Mudah Alih Massiv

Penganalisis keselamatan siber telah menemui sejenis trojan perbankan Android yang canggih yang dikenali sebagai Massiv, yang direka bentuk untuk melaksanakan serangan pengambilalihan peranti (DTO) yang bertujuan untuk kecurian kewangan. Perisian hasad itu menyamar sebagai aplikasi IPTV yang sah, menyasarkan individu yang mencari perkhidmatan televisyen dalam talian.

Walaupun dikenal pasti dalam bilangan kempen tertumpu yang terhad, tahap ancaman adalah ketara. Setelah dipasang, Massiv membolehkan penyerang mengawal peranti yang diceroboh dari jauh, menjalankan transaksi penipuan dan mengeksploitasi akaun perbankan mudah alih mangsa secara langsung.

Perisian hasad itu pada mulanya dikesan dalam kempen yang menyasarkan pengguna di Portugal dan Greece awal tahun ini. Walau bagaimanapun, analisis forensik telah mengesan varian sampel kembali ke awal tahun 2025, menunjukkan operasi ujian berskala kecil sebelum ini.

Manipulasi Penuaian dan Overlay Kelayakan Lanjutan

Massiv menggabungkan keupayaan yang biasa terdapat dalam perisian hasad perbankan Android yang canggih. Ia memudahkan kecurian kelayakan melalui pelbagai teknik, termasuk penstriman skrin melalui MediaProjection API Android, keylogging, pintasan SMS dan tindanan mengelirukan yang diletakkan pada aplikasi perbankan dan kewangan yang sah. Tindanan ini mendorong pengguna untuk menyerahkan kelayakan log masuk dan maklumat kad kredit.

Satu kempen penting yang menyasarkan gov.pt, aplikasi kerajaan Portugal yang digunakan untuk menyimpan dokumen pengenalan dan mengurus Kunci Mudah Alih Digital (Chave Móvel Digital atau CMD). Lapisan berniat jahat itu menyamar sebagai antara muka rasmi dan meminta nombor telefon dan kod PIN pengguna, kemungkinan besar untuk memintas proses pengesahan Kenali Pelanggan Anda (KYC).

Siasatan juga mendedahkan contoh di mana data yang dicuri telah dimanfaatkan untuk membuka akaun bank baharu atas nama mangsa. Akaun palsu ini kemudiannya digunakan untuk operasi pengubahan wang haram atau permohonan pinjaman tanpa kebenaran, semuanya tanpa pengetahuan mangsa.

Keupayaan Kawalan Jauh dan Pengelakan Tangkapan Skrin

Selain kecurian kelayakan, Massiv beroperasi sebagai alat akses jauh yang berfungsi sepenuhnya. Ia memberikan penyerang kawalan rahsia ke atas peranti yang dijangkiti sambil memaparkan lapisan skrin hitam untuk menyembunyikan aktiviti berniat jahat. Teknik ini mengeksploitasi perkhidmatan kebolehcapaian Android, satu taktik yang turut diperhatikan dalam trojan perbankan lain seperti Crocodilus, Datzbro dan Klopatra.

Aplikasi kewangan tertentu melaksanakan mekanisme perlindungan tangkapan skrin. Untuk memintas pertahanan ini, Massiv menggunakan teknik yang dirujuk sebagai 'mod pokok UI'. Kaedah ini merentasi akar AccessibilityWindowInfo dan memproses objek AccessibilityNodeInfo secara rekursif untuk membina semula perwakilan terperinci antara muka peranti yang boleh dilihat.

Perisian hasad ini menghasilkan peta JSON berstruktur yang mengandungi teks yang boleh dilihat, penerangan kandungan, elemen UI, koordinat skrin dan bendera interaksi yang menunjukkan sama ada elemen boleh diklik, boleh diedit, difokuskan atau diaktifkan. Hanya nod yang boleh dilihat yang mengandungi teks dihantar ke infrastruktur arahan penyerang, membolehkan interaksi jarak jauh yang tepat melalui arahan yang dikeluarkan.

Fungsi Berniat Jahat yang Komprehensif

Massiv dilengkapi dengan toolkit operasi yang luas yang membolehkan manipulasi dan kegigihan peranti yang meluas. Keupayaannya termasuk:

• Mengaktifkan atau melumpuhkan lapisan skrin hitam, meredamkan bunyi dan getaran
• Menstrim skrin peranti dan menghantar maklumat peranti
• Melakukan gerak isyarat klik dan leret dari jauh
• Mengubah suai kandungan papan klip
• Membuka kunci peranti menggunakan pengesahan corak
• Menggunakan tindanan untuk aplikasi yang disasarkan atau skrin kunci
• Memuat turun pakej tindanan dan memasang fail APK tambahan
• Membuka tetapan sistem seperti Pengoptimuman Bateri, Pentadbir Peranti dan Play Protect
• Meminta kebenaran pemasangan SMS dan pakej
• Mengosongkan pangkalan data log peranti

Fungsi-fungsi ini secara kolektif membolehkan penyerang mengekalkan kawalan, mengelak pengesanan dan melaksanakan penipuan kewangan dengan tepat.

Taktik Pengedaran: Dropper Bertema IPTV

Massiv merebak melalui kempen pancingan data SMS menggunakan aplikasi dropper yang meniru perkhidmatan IPTV. Selepas pemasangan, dropper akan meminta mangsa untuk memasang kemas kini 'penting' dan meminta kebenaran untuk memasang aplikasi daripada sumber luaran.

Artifak berniat jahat yang dikenal pasti termasuk:

• IPTV24 (hfgx.mqfy.fejku) – Aplikasi Dropper
• Google Play (hobfjp.anrxf.cucm) – Muatan besar-besaran

Dalam kebanyakan kes yang didokumenkan, aplikasi IPTV yang sah tidak terjejas. Sebaliknya, dropper hanya memaparkan kandungan web berkaitan IPTV melalui WebView, mewujudkan ilusi fungsi sementara malware dijalankan di latar belakang.

Sepanjang enam bulan yang lalu, kempen dropper bertemakan TV yang serupa telah menyasarkan terutamanya Sepanyol, Portugal, Perancis dan Turki.

Petunjuk Pengkomersialan dan Pembangunan Berterusan

Massiv memasuki ekosistem perisian hasad Android yang sedia tepu, menggariskan permintaan berterusan untuk penyelesaian penipuan kewangan siap guna dalam komuniti penjenayah siber.

Walaupun belum disahkan sebagai tawaran Perisian Hasad-sebagai-Perkhidmatan, analisis menunjukkan pergerakan ke arah itu. Pengenalan kekunci API untuk komunikasi bahagian belakang mencadangkan usaha untuk menyeragamkan operasi dan berpotensi membolehkan penggunaan pihak ketiga. Semakan kod selanjutnya mendedahkan pembangunan aktif, memberi isyarat bahawa ciri tambahan dan keupayaan yang diperluas mungkin muncul dalam lelaran masa hadapan.