Malware Masiv Mobile
Analiștii în domeniul securității cibernetice au descoperit un troian bancar sofisticat pentru Android, cunoscut sub numele de Massiv, conceput pentru a executa atacuri de tip „device takeover” (DTO) care vizează furtul financiar. Malware-ul se deghizează în aplicații IPTV legitime, vizând persoane care caută servicii de televiziune online.
Deși identificat într-un număr limitat de campanii specifice, nivelul de amenințare este semnificativ. Odată instalat, Massiv permite atacatorilor să controleze de la distanță dispozitivele compromise, să efectueze tranzacții frauduloase și să exploateze direct conturile bancare mobile ale victimelor.
Malware-ul a fost detectat inițial în campanii care vizau utilizatori din Portugalia și Grecia la începutul acestui an. Cu toate acestea, analiza criminalistică a urmărit variantele eșantionului până la începutul anului 2025, sugerând operațiuni anterioare de testare la scară mai mică.
Cuprins
Recoltarea avansată a acreditărilor și manipularea suprapunerilor
Massiv încorporează capabilități întâlnite frecvent în programele malware avansate pentru sistemul bancar Android. Acesta facilitează furtul de acreditări prin mai multe tehnici, inclusiv redarea în flux de ecran prin intermediul API-ului MediaProjection al Android, keylogging, interceptarea SMS-urilor și suprapuneri înșelătoare plasate peste aplicațiile bancare și financiare legitime. Aceste suprapuneri solicită utilizatorilor să introducă acreditări de conectare și informații despre cardul de credit.
O campanie notabilă a vizat în mod specific gov.pt, o aplicație guvernamentală portugheză utilizată pentru stocarea documentelor de identitate și gestionarea Cheii Mobile Digitale (Chave Móvel Digital sau CMD). Suprapunerea malițioasă a dat naștere interfeței oficiale și a solicitat numerele de telefon și codurile PIN ale utilizatorilor, probabil pentru a eluda procesele de verificare Know Your Customer (KYC).
Anchetele au scos la iveală, de asemenea, cazuri în care datele furate au fost folosite pentru a deschide noi conturi bancare pe numele victimelor. Aceste conturi frauduloase au fost ulterior utilizate pentru operațiuni de spălare de bani sau cereri de împrumuturi neautorizate, toate acestea fără știrea victimelor.
Capacități de control de la distanță și evitarea capturii de ecran
Dincolo de furtul de acreditări, Massiv funcționează ca un instrument de acces la distanță complet funcțional. Acesta oferă atacatorilor control secret asupra dispozitivelor infectate, afișând în același timp o suprapunere de ecran negru pentru a ascunde activitatea rău intenționată. Aceste tehnici exploatează serviciile de accesibilitate Android, o tactică observată și la alți troieni bancari precum Crocodilus, Datzbro și Klopatra.
Anumite aplicații financiare implementează mecanisme de protecție împotriva capturilor de ecran. Pentru a ocoli aceste apărări, Massiv implementează o tehnică denumită „modul UI-tree”. Această metodă traversează rădăcinile AccessibilityWindowInfo și procesează recursiv obiectele AccessibilityNodeInfo pentru a reconstrui o reprezentare detaliată a interfeței vizibile a dispozitivului.
Malware-ul generează o hartă JSON structurată care conține text vizibil, descrieri de conținut, elemente de interfață utilizator, coordonate de ecran și semnalizatoare de interacțiune care indică dacă elementele pot fi accesate cu clic, editate, focalizate sau activate. Doar nodurile vizibile care conțin text sunt transmise către infrastructura de comandă a atacatorului, permițând o interacțiune precisă la distanță prin comenzi emise.
Funcționalitate completă împotriva atacurilor rău intenționate
Massiv este echipat cu un set de instrumente operaționale extinse care permite manipularea extinsă a dispozitivelor și persistența acestora. Capacitățile sale includ:
- Activarea sau dezactivarea unei suprapuneri de ecran negru, dezactivarea sunetelor și a vibrațiilor
- Transmiterea în flux a ecranului dispozitivului și trimiterea informațiilor despre dispozitiv
- Efectuarea gesturilor de clic și glisare de la distanță
- Modificarea conținutului clipboardului
- Deblocarea dispozitivului folosind autentificarea prin model
- Implementarea suprapunerilor pentru aplicații specifice sau ecrane de blocare
- Descărcarea pachetelor overlay și instalarea fișierelor APK suplimentare
- Deschiderea setărilor de sistem, cum ar fi Optimizarea bateriei, Administratorul dispozitivului și Play Protect
- Solicitarea permisiunilor de instalare SMS și pachete
- Ștergerea bazelor de date ale jurnalelor dispozitivelor
Aceste funcții permit, împreună, atacatorilor să mențină controlul, să evite detectarea și să execute fraude financiare cu precizie.
Tactici de distribuție: Dropper-uri cu tematică IPTV
Massiv se răspândește prin campanii de phishing prin SMS, utilizând aplicații dropper care imită serviciile IPTV. După instalare, dropper-ul solicită victimei să instaleze o actualizare „importantă” și solicită permisiunea de a instala aplicații din surse externe.
Artefactele malițioase identificate includ:
- IPTV24 (hfgx.mqfy.fejku) – Aplicație Dropper
- Google Play (hobfjp.anrxf.cucm) – Sarcină utilă masivă
În majoritatea cazurilor documentate, aplicațiile IPTV legitime nu au fost compromise. În schimb, dropper-ul a afișat doar conținut web legat de IPTV printr-un WebView, creând iluzia funcționalității în timp ce malware-ul se executa în fundal.
În ultimele șase luni, campanii similare de tip dropper cu tematică TV au vizat în principal Spania, Portugalia, Franța și Turcia.
Indicatori ai comercializării și dezvoltării continue
Massiv intră într-un ecosistem de malware Android deja saturat, subliniind cererea persistentă de soluții la cheie pentru frauda financiară în cadrul comunităților de infractori cibernetici.
Deși nu a fost încă confirmat ca ofertă de tip Malware-as-a-Service, analiza indică o mișcare în această direcție. Introducerea cheilor API pentru comunicarea backend sugerează un efort de standardizare a operațiunilor și de a permite potențial utilizarea de către terți. Revizuirea codului relevă în plus o dezvoltare activă, semnalând că în iterațiile viitoare ar putea apărea funcții suplimentare și capabilități extinse.
