Massiv Mobile Malware
Analistët e sigurisë kibernetike kanë zbuluar një trojan të sofistikuar bankar për Android të njohur si Massiv, i projektuar për të ekzekutuar sulme të marrjes së kontrollit të pajisjes (DTO) që synojnë vjedhjen financiare. Malware maskohet si aplikacione legjitime IPTV, duke synuar individë që kërkojnë shërbime televizive online.
Edhe pse identifikohet në një numër të kufizuar fushatash të fokusuara, niveli i kërcënimit është i konsiderueshëm. Pasi instalohet, Massiv u mundëson sulmuesve të kontrollojnë nga distanca pajisjet e kompromentuara, të kryejnë transaksione mashtruese dhe të shfrytëzojnë drejtpërdrejt llogaritë bankare mobile të viktimave.
Malware u zbulua fillimisht në fushatat që synonin përdoruesit në Portugali dhe Greqi në fillim të këtij viti. Megjithatë, analiza mjeko-ligjore ka gjurmuar variante të mostrës që nga fillimi i vitit 2025, duke sugjeruar operacione të mëparshme testimi në shkallë më të vogël.
Tabela e Përmbajtjes
Mbledhja e avancuar e kredencialeve dhe manipulimi i mbivendosjes
Massiv përfshin aftësi që gjenden zakonisht në programet keqdashëse të avancuara bankare për Android. Ai lehtëson vjedhjen e kredencialeve përmes teknikave të shumta, duke përfshirë transmetimin e ekranit nëpërmjet API-t MediaProjection të Android, regjistrimin e tasteve, përgjimin e SMS-ve dhe mbivendosjet mashtruese të vendosura mbi aplikacionet legjitime bankare dhe financiare. Këto mbivendosje i nxisin përdoruesit të paraqesin kredencialet e hyrjes dhe informacionin e kartës së kreditit.
Një fushatë e dukshme kishte në shënjestër posaçërisht gov.pt, një aplikacion qeveritar portugez që përdoret për të ruajtur dokumente identifikimi dhe për të menaxhuar Çelësin Dixhital Celular (Chave Móvel Digital ose CMD). Mbivendosja keqdashëse imitonte ndërfaqen zyrtare dhe kërkonte numrat e telefonit dhe kodet PIN të përdoruesve, me shumë gjasa për të anashkaluar proceset e verifikimit "Njih Klientin Tënd" (KYC).
Hetimet zbuluan gjithashtu raste ku të dhënat e vjedhura u përdorën për të hapur llogari të reja bankare në emrat e viktimave. Këto llogari mashtruese u përdorën më pas për operacione pastrimi parash ose aplikime të paautorizuara për kredi, të gjitha pa dijeninë e viktimave.
Aftësitë e Kontrollit në Distancë dhe Shmangia e Kapjes së Ekranit
Përtej vjedhjes së kredencialeve, Massiv funksionon si një mjet plotësisht funksional për akses në distancë. Ai u jep sulmuesve kontroll të fshehtë të pajisjeve të infektuara, ndërsa shfaq një mbulesë të ekranit të zi për të fshehur aktivitetin keqdashës. Këto teknika shfrytëzojnë shërbimet e aksesueshmërisë Android, një taktikë e vërejtur edhe në trojanë të tjerë bankarë si Crocodilus, Datzbro dhe Klopatra.
Disa aplikacione financiare zbatojnë mekanizma mbrojtës të kapjes së ekranit. Për të anashkaluar këto mbrojtje, Massiv përdor një teknikë të njohur si 'modaliteti i pemës së ndërfaqes së përdoruesit'. Kjo metodë përshkon rrënjët e AccessibilityWindowInfo dhe përpunon në mënyrë rekursive objektet AccessibilityNodeInfo për të rindërtuar një përfaqësim të detajuar të ndërfaqes së dukshme të pajisjes.
Malware gjeneron një hartë të strukturuar JSON që përmban tekst të dukshëm, përshkrime të përmbajtjes, elementë të ndërfaqes së përdoruesit, koordinata të ekranit dhe flamuj ndërveprimi që tregojnë nëse elementët janë të klikueshëm, të modifikueshëm, të fokusuar ose të aktivizuar. Vetëm nyjet e dukshme që përmbajnë tekst transmetohen në infrastrukturën e komandës së sulmuesit, duke lejuar ndërveprim të saktë në distancë përmes komandave të lëshuara.
Funksionalitet gjithëpërfshirës keqdashës
Massiv është i pajisur me një set të gjerë mjetesh operative që mundëson manipulim të gjerë të pajisjeve dhe qëndrueshmëri. Aftësitë e tij përfshijnë:
- Aktivizimi ose çaktivizimi i një mbulese të ekranit të zi, heshtja e tingujve dhe dridhjeve
- Transmetimi i ekranit të pajisjes dhe dërgimi i informacionit të pajisjes
- Kryerja e gjesteve të klikimit dhe rrëshqitjes nga distanca
- Modifikimi i përmbajtjes së kujtesës së përkohshme
- Zhbllokimi i pajisjes duke përdorur vërtetimin e modelit
- Vendosja e mbivendosjeve për aplikacione të synuara ose ekrane bllokimi
- Shkarkimi i paketave të mbivendosura dhe instalimi i skedarëve shtesë APK
- Hapja e cilësimeve të sistemit si Optimizimi i Baterisë, Administratori i Pajisjes dhe Play Protect
- Duke kërkuar leje për instalimin e SMS-ve dhe paketave
- Pastrimi i bazave të të dhënave të regjistrave të pajisjes
Këto funksione së bashku u lejojnë sulmuesve të ruajnë kontrollin, të shmangin zbulimin dhe të kryejnë mashtrime financiare me saktësi.
Taktikat e Shpërndarjes: Droppers me Temë IPTV
Massiv përhapet përmes fushatave të phishing-ut me SMS duke përdorur aplikacione dropper që imitojnë shërbimet IPTV. Pas instalimit, dropper i kërkon viktimës të instalojë një përditësim 'të rëndësishëm' dhe kërkon leje për të instaluar aplikacione nga burime të jashtme.
Artefaktet e identifikuara keqdashëse përfshijnë:
- IPTV24 (hfgx.mqfy.fejku) – Aplikacion Dropper
- Google Play (hobfjp.anrxf.cucm) – Ngarkesë masive
Në shumicën e rasteve të dokumentuara, aplikacionet legjitime IPTV nuk u kompromentuan. Në vend të kësaj, dropper thjesht shfaqi përmbajtjen e internetit të lidhur me IPTV përmes një WebView, duke krijuar iluzionin e funksionalitetit ndërsa programi keqdashës ekzekutohej në sfond.
Gjatë gjashtë muajve të fundit, fushata të ngjashme me tematikë televizive kanë synuar kryesisht Spanjën, Portugalinë, Francën dhe Turqinë.
Treguesit e Komercializimit dhe Zhvillimit të Vazhdueshëm
Massiv hyn në një ekosistem malware për Android, tashmë të ngopur, duke nënvizuar kërkesën e vazhdueshme për zgjidhje të gatshme për mashtrime financiare brenda komuniteteve kiberkriminale.
Edhe pse ende nuk është konfirmuar si një ofertë për Malware-as-a-Service, analiza tregon lëvizje në atë drejtim. Prezantimi i çelësave API për komunikimin në prapavijë sugjeron një përpjekje për të standardizuar operacionet dhe potencialisht për të mundësuar përdorimin nga palët e treta. Rishikimi i kodit zbulon më tej zhvillim aktiv, duke sinjalizuar se veçori shtesë dhe aftësi të zgjeruara mund të shfaqen në versionet e ardhshme.
