Massiv Mobile Malware
Analitiki kibernetske varnosti so odkrili sofisticiran trojanski konj za Android, znan kot Massiv, ki je bil zasnovan za izvajanje napadov prevzema naprav (DTO), katerih cilj je finančna kraja. Zlonamerna programska oprema se prikriva kot legitimne aplikacije IPTV in cilja na posameznike, ki iščejo spletne televizijske storitve.
Čeprav je bila grožnja odkrita v omejenem številu osredotočenih kampanj, je njena raven grožnje precejšnja. Ko je nameščena, Massiv napadalcem omogoča oddaljeno upravljanje ogroženih naprav, izvajanje goljufivih transakcij in neposredno izkoriščanje mobilnih bančnih računov žrtev.
Zlonamerna programska oprema je bila sprva odkrita v kampanjah, namenjenih uporabnikom na Portugalskem in v Grčiji, v začetku letošnjega leta. Vendar pa je forenzična analiza vzorčne različice izsledila vse do začetka leta 2025, kar kaže na predhodne manjše testne operacije.
Kazalo
Napredno pridobivanje poverilnic in manipulacija s prekrivanjem
Massiv vključuje zmogljivosti, ki jih običajno najdemo v napredni zlonamerni programski opremi za bančništvo za Android. Omogoča krajo poverilnic z več tehnikami, vključno s pretakanjem zaslona prek Androidovega API-ja MediaProjection, beleženjem tipk, prestrezanjem SMS-ov in zavajajočimi prekrivnimi elementi, nameščenimi čez legitimne bančne in finančne aplikacije. Ti prekrivni elementi uporabnike pozivajo k vnosu prijavnih poverilnic in podatkov o kreditni kartici.
Opazna kampanja je bila posebej usmerjena proti gov.pt, portugalski vladni aplikaciji, ki se uporablja za shranjevanje identifikacijskih dokumentov in upravljanje digitalnega mobilnega ključa (Chave Móvel Digital ali CMD). Zlonamerni prekrivni element se je izdajal za uradni vmesnik in zahteval telefonske številke in PIN-kode uporabnikov, s čimer je verjetno zaobšel postopke preverjanja strank (KYC).
Preiskave so razkrile tudi primere, ko so bili ukradeni podatki izkoriščeni za odprtje novih bančnih računov na imena žrtev. Ti goljufivi računi so bili nato uporabljeni za operacije pranja denarja ali nepooblaščene vloge za posojila, vse brez vednosti žrtev.
Zmogljivosti daljinskega upravljanja in izogibanje zajemanju zaslona
Poleg kraje poverilnic deluje Massiv tudi kot popolnoma delujoče orodje za oddaljeni dostop. Napadalcem omogoča prikrit nadzor nad okuženimi napravami, hkrati pa prikazuje črn zaslon, da prikrije zlonamerno dejavnost. Te tehnike izkoriščajo storitve dostopnosti Androida, taktiko, ki jo opažajo tudi pri drugih bančnih trojancih, kot so Crocodilus, Datzbro in Klopatra.
Nekatere finančne aplikacije izvajajo mehanizme zaščite pred zajemom zaslona. Za obhod teh obrambnih mehanizmov Massiv uporablja tehniko, imenovano »način drevesa uporabniškega vmesnika«. Ta metoda prečka korenine AccessibilityWindowInfo in rekurzivno obdeluje objekte AccessibilityNodeInfo, da rekonstruira podrobno predstavitev vidnega vmesnika naprave.
Zlonamerna programska oprema ustvari strukturiran zemljevid JSON, ki vsebuje vidno besedilo, opise vsebine, elemente uporabniškega vmesnika, koordinate zaslona in zastavice interakcije, ki označujejo, ali je elemente mogoče klikniti, urejati, so v fokusu ali so omogočeni. V napadalčevo ukazno infrastrukturo se prenesejo samo vidna vozlišča, ki vsebujejo besedilo, kar omogoča natančno oddaljeno interakcijo prek izdanih ukazov.
Celovita zlonamerna funkcionalnost
Massiv je opremljen s širokim naborom orodij, ki omogoča obsežno upravljanje in vzdrževanje naprav. Njegove zmogljivosti vključujejo:
- Aktiviranje ali onemogočanje črnega zaslona, izklop zvokov in vibracij
- Pretočno predvajanje zaslona naprave in pošiljanje informacij o napravi
- Izvajanje klikov in podrsljajev na daljavo
- Spreminjanje vsebine odložišča
- Odklepanje naprave z uporabo vzorca za preverjanje pristnosti
- Namestitev prekrivnih elementov za ciljne aplikacije ali zaklenjene zaslone
- Prenos prekrivnih paketov in namestitev dodatnih datotek APK
- Odpiranje sistemskih nastavitev, kot so Optimizacija baterije, Skrbnik naprave in Play Protect
- Zahteva za dovoljenja za namestitev SMS-ov in paketov
- Brisanje podatkovnih baz dnevnikov naprav
Te funkcije skupaj omogočajo napadalcem, da ohranijo nadzor, se izognejo odkrivanju in natančno izvajajo finančne goljufije.
Taktike distribucije: IPTV-tematske dropperje
Massiv se širi prek SMS phishing kampanj z uporabo aplikacij za spuščanje, ki posnemajo storitve IPTV. Po namestitvi aplikacija pozove žrtev k namestitvi »pomembne« posodobitve in zahteva dovoljenje za namestitev aplikacij iz zunanjih virov.
Med prepoznanimi zlonamernimi artefakti so:
- IPTV24 (hfgx.mqfy.fejku) – Aplikacija Dropper
- Google Play (hobfjp.anrxf.cucm) – Masivni koristni tovor
V večini dokumentiranih primerov legitimne aplikacije IPTV niso bile ogrožene. Namesto tega je programska oprema zgolj prikazovala spletno vsebino, povezano z IPTV, prek spletnega pogleda, kar je ustvarilo iluzijo delovanja, medtem ko se je zlonamerna programska oprema izvajala v ozadju.
V zadnjih šestih mesecih so bile podobne televizijske kampanje s padajočimi oglasi usmerjene predvsem v Španijo, Portugalsko, Francijo in Turčijo.
Kazalniki komercializacije in stalnega razvoja
Massiv vstopa v že tako nasičen ekosistem zlonamerne programske opreme za Android, kar poudarja vztrajno povpraševanje po rešitvah za finančne goljufije na ključ znotraj skupnosti kibernetskega kriminala.
Čeprav še ni potrjeno kot ponudba Malware-as-a-Service (Zlonamerna programska oprema kot storitev), analiza kaže na gibanje v tej smeri. Uvedba API ključev za komunikacijo v zaledju kaže na prizadevanja za standardizacijo delovanja in potencialno omogočanje uporabe s strani tretjih oseb. Pregled kode nadalje razkriva aktiven razvoj, kar kaže na to, da se lahko v prihodnjih iteracijah pojavijo dodatne funkcije in razširjene zmogljivosti.
