Massieve mobiele malware
Cybersecurity-analisten hebben een geavanceerde Android-banktrojan ontdekt, genaamd Massiv, die is ontworpen om DTO-aanvallen (Device Takeover) uit te voeren met als doel financiële diefstal. De malware vermomt zich als legitieme IPTV-applicaties en richt zich op mensen die op zoek zijn naar online televisiediensten.
Hoewel Massiv slechts in een beperkt aantal gerichte campagnes is geïdentificeerd, is het dreigingsniveau aanzienlijk. Eenmaal geïnstalleerd, stelt het aanvallers in staat om op afstand de controle over gecompromitteerde apparaten over te nemen, frauduleuze transacties uit te voeren en rechtstreeks misbruik te maken van de mobiele bankrekeningen van slachtoffers.
De malware werd eerder dit jaar voor het eerst gedetecteerd in campagnes gericht op gebruikers in Portugal en Griekenland. Forensisch onderzoek heeft echter varianten van het testmateriaal teruggevoerd tot begin 2025, wat wijst op eerdere, kleinschaligere testoperaties.
Inhoudsopgave
Geavanceerde methoden voor het verzamelen en manipuleren van inloggegevens
Massiv bevat functionaliteiten die vaak voorkomen in geavanceerde Android-bankmalware. Het maakt het stelen van inloggegevens mogelijk via verschillende technieken, waaronder schermstreaming via de MediaProjection API van Android, keylogging, het onderscheppen van sms-berichten en misleidende overlays die over legitieme bank- en financiële applicaties worden geplaatst. Deze overlays vragen gebruikers om inloggegevens en creditcardinformatie in te voeren.
Een opvallende campagne was specifiek gericht op gov.pt, een Portugese overheidsapplicatie voor het opslaan van identiteitsdocumenten en het beheer van de digitale mobiele sleutel (Chave Móvel Digital of CMD). De kwaadaardige overlay simuleerde de officiële interface en vroeg om telefoonnummers en pincodes van gebruikers, waarschijnlijk om de Know Your Customer (KYC)-verificatieprocedures te omzeilen.
Uit onderzoek is ook gebleken dat gestolen gegevens werden gebruikt om nieuwe bankrekeningen op naam van de slachtoffers te openen. Deze frauduleuze rekeningen werden vervolgens gebruikt voor witwaspraktijken of ongeoorloofde leningaanvragen, allemaal zonder medeweten van de slachtoffers.
Mogelijkheden voor afstandsbediening en het ontwijken van schermopnames
Naast het stelen van inloggegevens functioneert Massiv als een volledig functioneel hulpmiddel voor toegang op afstand. Het geeft aanvallers heimelijke controle over geïnfecteerde apparaten, terwijl het een zwart scherm weergeeft om kwaadaardige activiteiten te verbergen. Deze technieken maken gebruik van Android-toegankelijkheidsdiensten, een tactiek die ook is waargenomen bij andere banktrojans zoals Crocodilus, Datzbro en Klopatra.
Bepaalde financiële applicaties implementeren mechanismen ter bescherming tegen schermopnamen. Om deze beveiligingen te omzeilen, gebruikt Massiv een techniek die bekend staat als 'UI-tree mode'. Deze methode doorloopt de AccessibilityWindowInfo-roots en verwerkt recursief de AccessibilityNodeInfo-objecten om een gedetailleerde weergave van de zichtbare interface van het apparaat te reconstrueren.
De malware genereert een gestructureerde JSON-map met zichtbare tekst, inhoudsbeschrijvingen, UI-elementen, schermcoördinaten en interactievlaggen die aangeven of elementen klikbaar, bewerkbaar, gefocust of ingeschakeld zijn. Alleen zichtbare knooppunten met tekst worden naar de commandostructuur van de aanvaller verzonden, waardoor nauwkeurige interactie op afstand mogelijk is via uitgegeven commando's.
Uitgebreide kwaadaardige functionaliteit
Massiv is uitgerust met een uitgebreide operationele toolkit die uitgebreide manipulatie en persistentie van apparaten mogelijk maakt. De mogelijkheden omvatten:
- Het in- of uitschakelen van een zwart schermoverlay, het dempen van geluiden en trillingen.
- Het scherm van het apparaat streamen en apparaatinformatie verzenden.
- Klik- en veegbewegingen op afstand uitvoeren
- De inhoud van het klembord wijzigen
- Het apparaat ontgrendelen met patroonauthenticatie
- Overlays implementeren voor specifieke toepassingen of vergrendelschermen.
- Overlaypakketten downloaden en extra APK-bestanden installeren
- Systeeminstellingen openen zoals Batterijoptimalisatie, Apparaatbeheerder en Play Protect.
- Verzoek om toestemming voor sms-berichten en pakketinstallatie.
- Apparaatlogboekdatabases wissen
Deze functies stellen aanvallers in staat om de controle te behouden, detectie te ontwijken en financiële fraude met precisie uit te voeren.
Distributietactieken: IPTV-gerelateerde droppers
Massiv verspreidt zich via sms-phishingcampagnes met behulp van dropper-applicaties die IPTV-diensten imiteren. Na installatie vraagt de dropper het slachtoffer om een 'belangrijke' update te installeren en vraagt toestemming om applicaties van externe bronnen te installeren.
De geïdentificeerde kwaadaardige artefacten omvatten:
- IPTV24 (hfgx.mqfy.fejku) – Dropper-applicatie
- Google Play (hobfjp.anrxf.cucm) – Massieve payload
In de meeste gedocumenteerde gevallen werden legitieme IPTV-applicaties niet gecompromitteerd. In plaats daarvan toonde de dropper slechts IPTV-gerelateerde webinhoud via een WebView, waardoor de illusie van functionaliteit werd gewekt terwijl de malware op de achtergrond actief was.
De afgelopen zes maanden waren soortgelijke dropper-campagnes met tv-thema's vooral gericht op Spanje, Portugal, Frankrijk en Turkije.
Indicatoren voor commercialisering en voortdurende ontwikkeling
Massiv betreedt een reeds verzadigd ecosysteem van Android-malware, wat de aanhoudende vraag naar kant-en-klare oplossingen voor financiële fraude binnen cybercriminele gemeenschappen onderstreept.
Hoewel het nog niet officieel als Malware-as-a-Service-aanbod is bevestigd, wijst analyse op een ontwikkeling in die richting. De introductie van API-sleutels voor communicatie met de backend suggereert een poging om de processen te standaardiseren en mogelijk gebruik door derden mogelijk te maken. Codeonderzoek toont verder aan dat er actief aan wordt gewerkt, wat erop wijst dat er in toekomstige versies mogelijk extra functies en uitgebreidere mogelijkheden zullen verschijnen.
