Massiv Mobile Malware
Analitycy ds. cyberbezpieczeństwa odkryli wyrafinowanego trojana bankowego dla systemu Android, znanego jako Massiv, zaprojektowanego do przeprowadzania ataków polegających na przejmowaniu urządzeń (DTO) w celu kradzieży pieniędzy. Szkodliwe oprogramowanie podszywa się pod legalne aplikacje IPTV, atakując osoby poszukujące telewizji internetowej.
Chociaż zidentyfikowano go w ograniczonej liczbie ukierunkowanych kampanii, poziom zagrożenia jest znaczący. Po zainstalowaniu, Massiv umożliwia atakującym zdalne kontrolowanie zainfekowanych urządzeń, przeprowadzanie oszukańczych transakcji i bezpośrednie wykorzystywanie mobilnych kont bankowych ofiar.
Szkodliwe oprogramowanie zostało pierwotnie wykryte w kampaniach wymierzonych w użytkowników w Portugalii i Grecji na początku tego roku. Jednak analiza kryminalistyczna wykazała, że warianty próbek pojawiły się już na początku 2025 roku, co sugeruje wcześniejsze, mniejsze testy.
Spis treści
Zaawansowane zbieranie danych uwierzytelniających i manipulacja nakładkami
Massiv wykorzystuje funkcje powszechnie spotykane w zaawansowanym oprogramowaniu bankowym dla systemu Android. Umożliwia kradzież danych uwierzytelniających za pomocą wielu technik, w tym strumieniowania ekranu za pośrednictwem interfejsu API MediaProjection systemu Android, keyloggera, przechwytywania wiadomości SMS oraz oszukańczych nakładek na legalne aplikacje bankowe i finansowe. Nakładki te nakłaniają użytkowników do podania danych logowania i danych karty kredytowej.
Znana kampania była wymierzona konkretnie w gov.pt, portugalską aplikację rządową służącą do przechowywania dokumentów tożsamości i zarządzania cyfrowym kluczem mobilnym (Cyfrowy Klucz Mobilny, Chave Móvel Digital lub CMD). Złośliwa nakładka podszywała się pod oficjalny interfejs i żądała podania numerów telefonów i kodów PIN użytkowników, prawdopodobnie w celu obejścia procesu weryfikacji KYC (Know Your Customer).
Śledztwa ujawniły również przypadki, w których skradzione dane były wykorzystywane do otwierania nowych kont bankowych na nazwiska ofiar. Te fałszywe konta były następnie wykorzystywane do prania pieniędzy lub składania nieautoryzowanych wniosków o pożyczki, a wszystko to bez wiedzy ofiar.
Możliwości zdalnego sterowania i unikania przechwytywania ekranu
Poza kradzieżą danych uwierzytelniających, Massiv działa jako w pełni funkcjonalne narzędzie zdalnego dostępu. Zapewnia atakującym ukrytą kontrolę nad zainfekowanymi urządzeniami, wyświetlając jednocześnie czarną nakładkę na ekranie, aby ukryć szkodliwą aktywność. Techniki te wykorzystują usługi ułatwień dostępu Androida, taktykę obserwowaną również w innych trojanach bankowych, takich jak Crocodilus, Datzbro i Klopatra.
Niektóre aplikacje finansowe implementują mechanizmy ochrony przed przechwytywaniem ekranu. Aby ominąć te zabezpieczenia, Massiv wdraża technikę zwaną „trybem drzewa interfejsu użytkownika”. Metoda ta przechodzi przez korzenie AccessibilityWindowInfo i rekurencyjnie przetwarza obiekty AccessibilityNodeInfo, aby odtworzyć szczegółową reprezentację widocznego interfejsu urządzenia.
Szkodliwe oprogramowanie generuje ustrukturyzowaną mapę JSON zawierającą widoczny tekst, opisy treści, elementy interfejsu użytkownika, współrzędne ekranu oraz flagi interakcji, które wskazują, czy elementy są klikalne, edytowalne, aktywne lub włączone. Do infrastruktury poleceń atakującego przesyłane są tylko widoczne węzły zawierające tekst, co umożliwia precyzyjną zdalną interakcję za pomocą wydawanych poleceń.
Kompleksowa funkcjonalność złośliwa
Massiv jest wyposażony w szeroki zestaw narzędzi operacyjnych umożliwiających rozległą manipulację urządzeniami i ich utrwalanie. Jego możliwości obejmują:
- Włączanie lub wyłączanie czarnej nakładki ekranu, wyciszanie dźwięków i wibracji
- Przesyłanie strumieniowe ekranu urządzenia i wysyłanie informacji o urządzeniu
- Zdalne wykonywanie gestów klikania i przesuwania
- Modyfikowanie zawartości schowka
- Odblokowywanie urządzenia za pomocą uwierzytelniania wzorcem
- Wdrażanie nakładek dla wybranych aplikacji lub ekranów blokady
- Pobieranie pakietów nakładek i instalowanie dodatkowych plików APK
- Otwieranie ustawień systemowych, takich jak Optymalizacja baterii, Administrator urządzenia i Play Protect
- Żądanie uprawnień do wysyłania SMS-ów i instalacji pakietów
- Czyszczenie baz danych dziennika urządzenia
Łącznie funkcje te umożliwiają atakującym zachowanie kontroli, unikanie wykrycia i dokonywanie oszustw finansowych z dużą precyzją.
Taktyka dystrybucji: Dropperzy o tematyce IPTV
Massiv rozprzestrzenia się poprzez kampanie phishingowe SMS-owe, wykorzystując aplikacje typu dropper imitujące usługi IPTV. Po instalacji dropper nakłania ofiarę do zainstalowania „ważnej” aktualizacji i prosi o pozwolenie na instalację aplikacji z zewnętrznych źródeł.
Zidentyfikowane złośliwe artefakty obejmują:
- IPTV24 (hfgx.mqfy.fejku) – aplikacja Dropper
- Google Play (hobfjp.anrxf.cucm) – Ogromny ładunek
W większości udokumentowanych przypadków legalne aplikacje IPTV nie zostały naruszone. Zamiast tego dropper jedynie wyświetlał treści internetowe związane z IPTV za pośrednictwem WebView, tworząc iluzję funkcjonalności, podczas gdy złośliwe oprogramowanie działało w tle.
W ciągu ostatnich sześciu miesięcy podobne kampanie telewizyjne o tematyce dropperów były skierowane głównie do Hiszpanii, Portugalii, Francji i Turcji.
Wskaźniki komercjalizacji i ciągłego rozwoju
Massiv wkracza do ekosystemu złośliwego oprogramowania dla systemu Android, który i tak jest już nasycony, co podkreśla stałe zapotrzebowanie na kompleksowe rozwiązania do ochrony przed oszustwami finansowymi wśród społeczności cyberprzestępców.
Chociaż nie potwierdzono jeszcze, że jest to oferta typu Malware-as-a-Service, analizy wskazują na ruch w tym kierunku. Wprowadzenie kluczy API do komunikacji zaplecza sugeruje dążenie do standaryzacji operacji i potencjalnego umożliwienia korzystania z nich przez podmioty zewnętrzne. Analiza kodu ujawnia ponadto aktywny rozwój, sygnalizując, że w przyszłych iteracjach mogą pojawić się dodatkowe funkcje i rozszerzone możliwości.
