Malware móvel massivo

Analistas de cibersegurança descobriram um sofisticado trojan bancário para Android, conhecido como Massiv, projetado para executar ataques de apropriação de dispositivos (DTO) com o objetivo de roubar informações financeiras. O malware se disfarça de aplicativos legítimos de IPTV, visando indivíduos que buscam serviços de televisão online.

Embora identificado em um número limitado de campanhas direcionadas, o nível de ameaça é significativo. Uma vez instalado, o Massiv permite que os invasores controlem remotamente dispositivos comprometidos, realizem transações fraudulentas e explorem diretamente as contas bancárias móveis das vítimas.

O malware foi inicialmente detectado em campanhas direcionadas a usuários em Portugal e na Grécia no início deste ano. No entanto, análises forenses rastrearam variantes de amostra até o início de 2025, sugerindo operações de teste anteriores em menor escala.

Coleta avançada de credenciais e manipulação de sobreposição

O Massiv incorpora funcionalidades comuns em malware bancário avançado para Android. Ele facilita o roubo de credenciais por meio de diversas técnicas, incluindo streaming de tela via API MediaProjection do Android, registro de teclas digitadas (keylogging), interceptação de SMS e sobreposições enganosas em aplicativos bancários e financeiros legítimos. Essas sobreposições induzem os usuários a fornecerem credenciais de login e informações de cartão de crédito.

Uma campanha notável teve como alvo específico o gov.pt, um aplicativo do governo português usado para armazenar documentos de identificação e gerenciar a Chave Móvel Digital (CMD). A sobreposição maliciosa se passava pela interface oficial e solicitava os números de telefone e códigos PIN dos usuários, provavelmente para burlar os processos de verificação de Conheça Seu Cliente (KYC).

As investigações também revelaram casos em que dados roubados foram usados para abrir novas contas bancárias em nome das vítimas. Essas contas fraudulentas foram posteriormente utilizadas para operações de lavagem de dinheiro ou solicitações de empréstimos não autorizados, tudo sem o conhecimento das vítimas.

Capacidades de controle remoto e evasão de captura de tela

Além do roubo de credenciais, o Massiv funciona como uma ferramenta de acesso remoto completa. Ele concede aos atacantes o controle secreto de dispositivos infectados, exibindo uma sobreposição de tela preta para ocultar a atividade maliciosa. Essas técnicas exploram os serviços de acessibilidade do Android, uma tática também observada em outros trojans bancários, como Crocodilus, Datzbro e Klopatra.

Certos aplicativos financeiros implementam mecanismos de proteção contra captura de tela. Para contornar essas defesas, o Massiv utiliza uma técnica chamada "modo de árvore de interface do usuário". Esse método percorre as raízes do AccessibilityWindowInfo e processa recursivamente os objetos AccessibilityNodeInfo para reconstruir uma representação detalhada da interface visível do dispositivo.

O malware gera um mapa JSON estruturado contendo texto visível, descrições de conteúdo, elementos da interface do usuário, coordenadas da tela e indicadores de interação que mostram se os elementos são clicáveis, editáveis, estão em foco ou habilitados. Somente os nós visíveis que contêm texto são transmitidos para a infraestrutura de comando do atacante, permitindo uma interação remota precisa por meio de comandos emitidos.

Funcionalidade Maliciosa Abrangente

O Massiv está equipado com um amplo conjunto de ferramentas operacionais que permitem extensa manipulação e persistência de dispositivos. Suas capacidades incluem:

• Ativar ou desativar uma sobreposição de tela preta, silenciar sons e vibração.
• Transmitir a tela do dispositivo e enviar informações do dispositivo.
• Executar gestos de clique e deslize remotamente
• Modificando o conteúdo da área de transferência
• Desbloqueando o dispositivo usando autenticação por padrão
• Implantação de sobreposições para aplicativos específicos ou telas de bloqueio.
• Baixar pacotes de sobreposição e instalar arquivos APK adicionais.
• Abrir configurações do sistema, como Otimização de Bateria, Administrador de Dispositivos e Play Protect.
• Solicitar permissões para envio de SMS e instalação de pacotes.
• Limpar bancos de dados de registro de dispositivos

Essas funções, em conjunto, permitem que os atacantes mantenham o controle, evitem a detecção e executem fraudes financeiras com precisão.

Táticas de Distribuição: Droppers com Tema de IPTV

O grupo Massiv se propaga por meio de campanhas de phishing via SMS, utilizando aplicativos dropper que imitam serviços de IPTV. Após a instalação, o dropper induz a vítima a instalar uma atualização "importante" e solicita permissão para instalar aplicativos de fontes externas.

Os artefatos maliciosos identificados incluem:

• IPTV24 (hfgx.mqfy.fejku) – Aplicativo Dropper
• Google Play (hobfjp.anrxf.cucm) – Carga útil massiva

Na maioria dos casos documentados, os aplicativos legítimos de IPTV não foram comprometidos. Em vez disso, o dropper simplesmente exibia conteúdo da web relacionado a IPTV por meio de um WebView, criando a ilusão de funcionalidade enquanto o malware era executado em segundo plano.

Nos últimos seis meses, campanhas publicitárias similares com temática televisiva tiveram como alvo principal a Espanha, Portugal, França e Turquia.

Indicadores de comercialização e desenvolvimento contínuo

A Massiv entra em um ecossistema de malware para Android já saturado, ressaltando a demanda persistente por soluções prontas para uso em casos de fraude financeira dentro das comunidades de cibercriminosos.

Embora ainda não confirmado como uma oferta de Malware como Serviço (MaaS), a análise indica uma tendência nessa direção. A introdução de chaves de API para comunicação com o backend sugere um esforço para padronizar as operações e potencialmente permitir o uso por terceiros. A revisão do código revela ainda um desenvolvimento ativo, sinalizando que recursos adicionais e capacidades expandidas podem surgir em versões futuras.