Masívny mobilný malvér

Analytici kybernetickej bezpečnosti odhalili sofistikovaný bankový trójsky kôň pre Android známy ako Massiv, ktorý bol navrhnutý na vykonávanie útokov na prevzatie zariadenia (DTO) zameraných na finančné krádeže. Malvér sa maskuje ako legitímne IPTV aplikácie a zameriava sa na jednotlivcov vyhľadávajúcich online televízne služby.

Hoci bol identifikovaný v obmedzenom počte cielených kampaní, úroveň hrozby je značná. Po nainštalovaní umožňuje Massiv útočníkom diaľkovo ovládať napadnuté zariadenia, vykonávať podvodné transakcie a priamo zneužívať mobilné bankové účty obetí.

Malvér bol pôvodne zistený v kampaniach zameraných na používateľov v Portugalsku a Grécku začiatkom tohto roka. Forenzná analýza však vystopovala varianty vzoriek až do začiatku roka 2025, čo naznačuje predchádzajúce testovacie operácie menšieho rozsahu.

Pokročilé získavanie poverení a manipulácia s prekrytiami

Massiv obsahuje funkcie bežne dostupné v pokročilom bankovom malvéri pre Android. Umožňuje krádež prihlasovacích údajov prostredníctvom viacerých techník vrátane streamovania obrazovky cez rozhranie API MediaProjection od Androidu, zaznamenávania stlačení klávesov, zachytávania SMS správ a klamlivých prekrytí umiestnených cez legitímne bankové a finančné aplikácie. Tieto prekrytia vyzývajú používateľov k zadaniu prihlasovacích údajov a informácií o kreditnej karte.

Významná kampaň bola zameraná najmä na gov.pt, portugalskú vládnu aplikáciu používanú na ukladanie identifikačných dokladov a správu digitálneho mobilného kľúča (Chave Móvel Digital alebo CMD). Škodlivé prekrytie sa vydávalo za oficiálne rozhranie a požadovalo telefónne čísla a PIN kódy používateľov, čím pravdepodobne obchádzalo overovacie procesy Know Your Customer (KYC).

Vyšetrovania tiež odhalili prípady, keď boli ukradnuté údaje zneužité na otvorenie nových bankových účtov na mená obetí. Tieto podvodné účty boli následne použité na pranie špinavých peňazí alebo na neoprávnené žiadosti o úver, a to všetko bez vedomia obetí.

Možnosti diaľkového ovládania a vyhýbanie sa snímaniu obrazovky

Okrem krádeže prihlasovacích údajov funguje Massiv aj ako plne funkčný nástroj na vzdialený prístup. Útočníkom poskytuje skrytú kontrolu nad infikovanými zariadeniami a zároveň zobrazuje čiernu obrazovku, ktorá skryje škodlivú aktivitu. Tieto techniky zneužívajú služby prístupnosti systému Android, čo je taktika pozorovaná aj u iných bankových trójskych koní, ako sú Crocodilus, Datzbro a Klopatra.

Niektoré finančné aplikácie implementujú mechanizmy ochrany pred snímaním obrazovky. Na obídenie týchto obranných mechanizmov Massiv používa techniku nazývanú „režim UI-stromu“. Táto metóda prechádza koreňmi AccessibilityWindowInfo a rekurzívne spracováva objekty AccessibilityNodeInfo, aby rekonštruovala podrobnú reprezentáciu viditeľného rozhrania zariadenia.

Malvér generuje štruktúrovanú mapu JSON obsahujúcu viditeľný text, popisy obsahu, prvky používateľského rozhrania, súradnice obrazovky a interakčné príznaky, ktoré označujú, či sú prvky klikateľné, upraviteľné, zaostrené alebo povolené. Do príkazovej infraštruktúry útočníka sa prenášajú iba viditeľné uzly obsahujúce text, čo umožňuje presnú vzdialenú interakciu prostredníctvom vydaných príkazov.

Komplexná škodlivá funkcionalita

Massiv je vybavený širokou sadou operačných nástrojov, ktoré umožňujú rozsiahlu manipuláciu so zariadeniami a ich perzistenciu. Medzi jeho možnosti patrí:

• Aktivácia alebo deaktivácia čiernej obrazovky, stlmenie zvukov a vibrácií
• Streamovanie obrazovky zariadenia a odosielanie informácií o zariadení
• Vykonávanie gest klikania a potiahnutia na diaľku
• Úprava obsahu schránky
• Odomknutie zariadenia pomocou overovania vzorom
• Nasadenie prekrytí pre cielené aplikácie alebo uzamknuté obrazovky
• Sťahovanie balíkov prekrytí a inštalácia ďalších súborov APK
• Otvorenie nastavení systému, ako sú Optimalizácia batérie, Správca zariadenia a Play Protect
• Žiadosť o povolenia na inštaláciu SMS a balíkov
• Vymazanie databáz protokolov zariadení

Tieto funkcie spoločne umožňujú útočníkom udržiavať si kontrolu, vyhýbať sa odhaleniu a presne vykonávať finančné podvody.

Distribučné taktiky: Droppery s tematikou IPTV

Massiv sa šíri prostredníctvom SMS phishingových kampaní s použitím aplikácií na napodobňovanie IPTV služieb. Po inštalácii aplikácia vyzve obeť na inštaláciu „dôležitej“ aktualizácie a požiada o povolenie na inštaláciu aplikácií z externých zdrojov.

Medzi identifikované škodlivé artefakty patria:

• IPTV24 (hfgx.mqfy.fejku) – Aplikácia Dropper
• Google Play (hobfjp.anrxf.cucm) – Masívne užitočné zaťaženie

Vo väčšine zdokumentovaných prípadov neboli legitímne IPTV aplikácie napadnuté. Namiesto toho dropper iba zobrazoval webový obsah súvisiaci s IPTV prostredníctvom WebView, čím vytváral ilúziu funkčnosti, zatiaľ čo malvér bežal na pozadí.

Počas uplynulých šiestich mesiacov sa podobné televízne kampane zamerané na droppery zameriavali predovšetkým na Španielsko, Portugalsko, Francúzsko a Turecko.

Ukazovatele komercializácie a prebiehajúceho rozvoja

Massiv vstupuje do už aj tak nasýteného ekosystému malvéru pre Android, čo zdôrazňuje pretrvávajúci dopyt po komplexných riešeniach finančných podvodov v rámci kyberzločinných komunít.

Hoci to ešte nebolo potvrdené ako ponuka typu Malware-as-a-Service (malvér ako služba), analýza naznačuje pohyb týmto smerom. Zavedenie API kľúčov pre komunikáciu na strane servera naznačuje snahu o štandardizáciu operácií a potenciálne umožnenie ich využitia tretími stranami. Preskúmanie kódu ďalej odhaľuje aktívny vývoj, čo signalizuje, že v budúcich iteráciách sa môžu objaviť ďalšie funkcie a rozšírené možnosti.