Скидка на мультилицензию
База данных угроз Вредоносное ПО для мобильных устройств Массивное мобильное вредоносное ПО

Массивное мобильное вредоносное ПО

К Mezo году в Вредоносное ПО для мобильных устройств, Банковский троян году
Перевести на:

Специалисты по кибербезопасности обнаружили сложный банковский троян для Android, известный как Massiv, разработанный для осуществления атак с захватом устройства (DTO), направленных на кражу финансовых средств. Вредоносная программа маскируется под легитимные приложения IPTV, нацеленные на пользователей, ищущих онлайн-телевидение.

Несмотря на то, что угроза была выявлена лишь в ограниченном числе целенаправленных кампаний, она значительна. После установки Massiv позволяет злоумышленникам удаленно управлять скомпрометированными устройствами, совершать мошеннические транзакции и напрямую использовать мобильные банковские счета жертв.

Вредоносное ПО было впервые обнаружено в ходе кампаний, направленных на пользователей в Португалии и Греции в начале этого года. Однако криминалистический анализ позволил отследить варианты образцов до начала 2025 года, что указывает на более ранние операции по тестированию в меньшем масштабе.

Расширенные методы сбора учетных данных и манипулирования наложенными данными.

Massiv использует возможности, обычно встречающиеся в сложных банковских вредоносных программах для Android. Он способствует краже учетных данных с помощью различных методов, включая потоковую передачу экрана через API MediaProjection Android, перехват нажатий клавиш, перехват SMS-сообщений и вводящие в заблуждение наложения поверх легитимных банковских и финансовых приложений. Эти наложения запрашивают у пользователей учетные данные для входа и информацию о кредитных картах.

Крупная кампания была направлена на gov.pt, португальское правительственное приложение, используемое для хранения документов, удостоверяющих личность, и управления цифровым мобильным ключом (Chave Móvel Digital или CMD). Вредоносная оболочка имитировала официальный интерфейс и запрашивала у пользователей номера телефонов и PIN-коды, вероятно, для обхода процедур проверки «Знай своего клиента» (KYC).

В ходе расследования также были выявлены случаи, когда украденные данные использовались для открытия новых банковских счетов на имена жертв. Эти мошеннические счета впоследствии использовались для отмывания денег или оформления несанкционированных кредитов, причем все это происходило без ведома жертв.

Возможности дистанционного управления и обход захвата экрана

Помимо кражи учетных данных, Massiv функционирует как полноценный инструмент удаленного доступа. Он предоставляет злоумышленникам скрытый контроль над зараженными устройствами, одновременно отображая черный экран, чтобы скрыть вредоносную активность. Эти методы используют уязвимости в службах специальных возможностей Android, тактику, также наблюдаемую в других банковских троянах, таких как Crocodilus, Datzbro и Klopatra.

В некоторых финансовых приложениях реализованы механизмы защиты от захвата экрана. Для обхода этих средств защиты Massiv использует метод, называемый «режим дерева пользовательского интерфейса». Этот метод обходит корневые элементы AccessibilityWindowInfo и рекурсивно обрабатывает объекты AccessibilityNodeInfo для восстановления подробного представления видимого интерфейса устройства.

Вредоносная программа генерирует структурированную JSON-карту, содержащую видимый текст, описания контента, элементы пользовательского интерфейса, координаты экрана и флаги взаимодействия, указывающие, являются ли элементы кликабельными, редактируемыми, сфокусированными или включенными. Только видимые узлы, содержащие текст, передаются в командную инфраструктуру злоумышленника, что позволяет осуществлять точное удаленное взаимодействие посредством отдаваемых команд.

Комплексная вредоносная функциональность

Massiv оснащен широким набором инструментов, позволяющих осуществлять масштабные манипуляции с устройствами и обеспечивать их постоянное присутствие в сети. Его возможности включают в себя:

  • Включение или отключение черного экрана, отключение звуков и вибрации.
  • Трансляция экрана устройства и отправка информации об устройстве.
  • Выполнение жестов щелчка и свайпа удаленно.
  • Изменение содержимого буфера обмена
  • Разблокировка устройства с помощью графического ключа.
  • Развертывание наложений для целевых приложений или экранов блокировки.
  • Загрузка пакетов наложения и установка дополнительных APK-файлов.
  • Открытие системных настроек, таких как «Оптимизация батареи», «Администратор устройства» и «Play Protect».
  • Запрос разрешений на отправку SMS и установку пакетов.
  • Очистка баз данных журналов устройств

В совокупности эти функции позволяют злоумышленникам сохранять контроль, избегать обнаружения и с высокой точностью совершать финансовые махинации.

Тактика распространения: дропперы, ориентированные на IPTV.

Massiv распространяется посредством SMS-фишинговых кампаний с использованием приложений-дропперов, имитирующих сервисы IPTV. После установки дроппер предлагает жертве установить «важное» обновление и запрашивает разрешение на установку приложений из внешних источников.

К числу выявленных вредоносных артефактов относятся:

  • IPTV24 (hfgx.mqfy.fejku) – приложение-дроппер
  • Google Play (hobfjp.anrxf.cucm) – Массивная полезная нагрузка

В большинстве задокументированных случаев легитимные IPTV-приложения не были скомпрометированы. Вместо этого, загрузчик просто отображал веб-контент, связанный с IPTV, через WebView, создавая иллюзию функциональности, в то время как вредоносное ПО выполнялось в фоновом режиме.

За последние шесть месяцев аналогичные рекламные кампании, ориентированные на телевизионную тематику, были нацелены в основном на Испанию, Португалию, Францию и Турцию.

Показатели коммерциализации и дальнейшего развития

Massiv выходит на уже перенасыщенную экосистему вредоносных программ для Android, подчеркивая сохраняющийся спрос на готовые решения для борьбы с финансовым мошенничеством в сообществах киберпреступников.

Хотя это еще не подтверждено как услуга «вредоносное ПО как сервис», анализ указывает на движение в этом направлении. Введение ключей API для взаимодействия с бэкэндом говорит о стремлении стандартизировать операции и потенциально обеспечить возможность использования сторонними разработчиками. Анализ кода также показывает активную разработку, сигнализируя о том, что в будущих версиях могут появиться дополнительные функции и расширенные возможности.

В тренде

Наиболее просматриваемые

Загрузка...