Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare Massiv mobil skadelig programvare

Massiv mobil skadelig programvare

Med Mezo i Mobil skadelig programvare, Bank Trojan
Oversett til:

Nettsikkerhetsanalytikere har avdekket en sofistikert Android-banktrojaner kjent som Massiv, konstruert for å utføre DTO-angrep (Device Takeover) rettet mot økonomisk tyveri. Skadevaren kamuflerer seg som legitime IPTV-applikasjoner, og retter seg mot enkeltpersoner som søker etter TV-tjenester på nett.

Selv om trusselnivået er identifisert i et begrenset antall fokuserte kampanjer, er det betydelig. Når Massiv er installert, lar det angripere fjernstyre kompromitterte enheter, utføre uredelige transaksjoner og direkte utnytte ofrenes mobile bankkontoer.

Skadevaren ble opprinnelig oppdaget i kampanjer rettet mot brukere i Portugal og Hellas tidligere i år. Rettsmedisinske analyser har imidlertid sporet varianter tilbake til tidlig i 2025, noe som tyder på tidligere testoperasjoner i mindre skala.

Avansert innsamling av legitimasjon og manipulering av overlegg

Massiv har funksjoner som vanligvis finnes i avansert Android-bankskadevare. Det muliggjør tyveri av legitimasjon gjennom flere teknikker, inkludert skjermstrømming via Androids MediaProjection API, tastelogging, SMS-avlytting og villedende overlegg plassert over legitime bank- og finansapplikasjoner. Disse overleggene ber brukerne om å oppgi påloggingsinformasjon og kredittkortinformasjon.

En bemerkelsesverdig kampanje var spesielt rettet mot gov.pt, en portugisisk myndighetsapplikasjon som brukes til å lagre identifikasjonsdokumenter og administrere den digitale mobilnøkkelen (Chave Móvel Digital eller CMD). Det ondsinnede overlegget utga seg for å være det offisielle grensesnittet og ba om brukernes telefonnumre og PIN-koder, sannsynligvis for å omgå KYC-verifiseringsprosesser (Know Your Customer).

Etterforskningen avdekket også tilfeller der stjålne data ble utnyttet til å åpne nye bankkontoer i ofrenes navn. Disse svindelkontoene ble deretter brukt til hvitvasking av penger eller uautoriserte lånesøknader, alt uten ofrenes viten.

Fjernkontrollfunksjoner og unngåelse av skjermbilder

Utover tyveri av legitimasjon fungerer Massiv som et fullt funksjonelt verktøy for fjerntilgang. Det gir angripere skjult kontroll over infiserte enheter samtidig som det viser et svart skjermoverlegg for å skjule ondsinnet aktivitet. Disse teknikkene utnytter Android-tilgjengelighetstjenester, en taktikk som også observeres i andre banktrojanere som Crocodilus, Datzbro og Klopatra.

Enkelte økonomiske applikasjoner implementerer skjermbeskyttelsesmekanismer. For å omgå disse forsvarsmekanismene bruker Massiv en teknikk som kalles «UI-tremodus». Denne metoden går gjennom AccessibilityWindowInfo-røtter og behandler AccessibilityNodeInfo-objekter rekursivt for å rekonstruere en detaljert representasjon av enhetens synlige grensesnitt.

Skadevaren genererer et strukturert JSON-kart som inneholder synlig tekst, innholdsbeskrivelser, UI-elementer, skjermkoordinater og interaksjonsflagg som indikerer om elementene er klikkbare, redigerbare, fokuserte eller aktiverte. Bare synlige noder som inneholder tekst overføres til angriperens kommandoinfrastruktur, noe som muliggjør presis ekstern interaksjon gjennom utstedte kommandoer.

Omfattende skadelig funksjonalitet

Massiv er utstyrt med et bredt verktøysett som muliggjør omfattende manipulering og vedlikehold av enheter. Funksjonene inkluderer:

  • Aktivere eller deaktivere et svart skjermoverlegg, dempe lyder og vibrasjon
  • Strømming av enhetsskjermen og sending av enhetsinformasjon
  • Utføre klikk- og sveipebevegelser eksternt
  • Endre innhold på utklippstavlen
  • Låse opp enheten ved hjelp av mønstergodkjenning
  • Distribuere overlegg for målrettede applikasjoner eller låseskjermer
  • Laste ned overleggspakker og installere ekstra APK-filer
  • Åpne systeminnstillinger som Batterioptimalisering, Enhetsadministrator og Play Protect
  • Be om SMS- og pakkeinstallasjonstillatelser
  • Tømme enhetsloggdatabaser

Disse funksjonene lar samlet sett angripere opprettholde kontroll, unngå å bli oppdaget og utføre økonomisk svindel med presisjon.

Distribusjonstaktikker: IPTV-tema droppers

Massiv sprer seg gjennom SMS-phishing-kampanjer ved bruk av dropper-applikasjoner som imiterer IPTV-tjenester. Etter installasjon ber dropper-applikasjonen offeret om å installere en «viktig» oppdatering og ber om tillatelse til å installere applikasjoner fra eksterne kilder.

Identifiserte skadelige artefakter inkluderer:

  • IPTV24 (hfgx.mqfy.fejku) – Dropper-applikasjon
  • Google Play (hobfjp.anrxf.cucm) – Massiv nyttelast

I de fleste dokumenterte tilfellene ble ikke legitime IPTV-applikasjoner kompromittert. I stedet viste dropperen bare IPTV-relatert nettinnhold gjennom en WebView, noe som skapte en illusjon av funksjonalitet mens skadevaren kjørte i bakgrunnen.

I løpet av de siste seks månedene har lignende TV-relaterte dropperkampanjer primært rettet seg mot Spania, Portugal, Frankrike og Tyrkia.

Indikatorer for kommersialisering og kontinuerlig utvikling

Massiv går inn i et allerede mettet Android-økosystem for skadelig programvare, noe som understreker den vedvarende etterspørselen etter nøkkelferdige løsninger for økonomisk svindel i nettkriminelle miljøer.

Selv om det ennå ikke er bekreftet som et Malware-as-a-Service-tilbud, indikerer analysen en bevegelse i den retningen. Innføringen av API-nøkler for backend-kommunikasjon antyder et forsøk på å standardisere driften og potensielt muliggjøre bruk av tredjeparter. Kodegjennomgang avslører videre aktiv utvikling, noe som signaliserer at flere funksjoner og utvidede muligheter kan dukke opp i fremtidige iterasjoner.

Trender

Mest sett

Laster inn...