Масовни мобилни злонамерни софтвер

Аналитичари сајбер безбедности открили су софистицирани тројански вирус за Андроид, познат као Massiv, дизајниран за извршавање напада преузимања уређаја (DTO) усмерених на финансијску крађу. Злонамерни софтвер се маскира у легитимне IPTV апликације, циљајући појединце који траже онлајн телевизијске услуге.

Иако је идентификован у ограниченом броју фокусираних кампања, ниво претње је значајан. Једном инсталиран, Massiv омогућава нападачима да даљински контролишу угрожене уређаје, обављају лажне трансакције и директно искоришћавају мобилне банкарске рачуне жртава.

Злонамерни софтвер је првобитно откривен у кампањама усмереним на кориснике у Португалу и Грчкој почетком ове године. Међутим, форензичка анализа је пратила варијанте узорака до почетка 2025. године, што указује на претходне операције тестирања мањег обима.

Напредно прикупљање акредитива и манипулација преклапањем

Масив укључује могућности које се обично налазе у напредном Андроид банкарском малверу. Олакшава крађу акредитива кроз више техника, укључујући стримовање екрана путем Андроидовог МедиаПројецтион АПИ-ја, бележење тастера са тастатуре, пресретање СМС порука и обмањујуће преклапања постављена преко легитимних банкарских и финансијских апликација. Ова преклапања подстичу кориснике да унесу акредитиве за пријаву и податке о кредитној картици.

Значајна кампања је посебно била усмерена на gov.pt, апликацију португалске владе која се користи за чување идентификационих докумената и управљање дигиталним мобилним кључем (Chave Móvel Digital или CMD). Злонамерни прекривач је опонашао званични интерфејс и захтевао бројеве телефона и ПИН кодове корисника, вероватно како би заобишао процесе верификације „Познај свог клијента“ (KYC).

Истраге су такође откриле случајеве где су украдени подаци коришћени за отварање нових банковних рачуна на имена жртава. Ови лажни рачуни су потом коришћени за операције прања новца или неовлашћене захтеве за кредите, све без знања жртава.

Могућности даљинског управљања и избегавање снимања екрана

Поред крађе акредитива, Massiv функционише као потпуно функционалан алат за даљински приступ. Он омогућава нападачима тајну контролу над зараженим уређајима док приказује црни екран како би прикрио злонамерне активности. Ове технике искоришћавају Андроид сервисе за приступачност, тактика која је примећена и код других банкарских тројанаца као што су Crocodilus, Datzbro и Klopatra.

Одређене финансијске апликације имплементирају механизме заштите од снимања екрана. Да би заобишао ове одбране, Massiv примењује технику која се назива „режим корисничког интерфејса“. Ова метода пролази кроз корене AccessibilityWindowInfo и рекурзивно обрађује објекте AccessibilityNodeInfo како би реконструисала детаљан приказ видљивог интерфејса уређаја.

Злонамерни софтвер генерише структурирану JSON мапу која садржи видљиви текст, описе садржаја, елементе корисничког интерфејса, координате екрана и интеракцијске заставице које указују на то да ли се на елементе може кликнути, уређивати, да ли су фокусирани или омогућени. Само видљиви чворови који садрже текст се преносе командној инфраструктури нападача, омогућавајући прецизну даљинску интеракцију путем издатих команди.

Свеобухватна злонамерна функционалност

Масив је опремљен широким оперативним алатима који омогућавају опсежну манипулацију уређајем и његово постојање. Његове могућности укључују:

• Активирање или онемогућавање црног преклапања екрана, искључивање звукова и вибрације
• Стримовање екрана уређаја и слање информација о уређају
• Даљинско извођење гестова кликања и превлачења
• Измена садржаја међуспремника
• Откључавање уређаја помоћу аутентификације шаблоном
• Примена преклапања за циљане апликације или закључане екране
• Преузимање пакета преклапања и инсталирање додатних APK датотека
• Отварање системских подешавања као што су Оптимизација батерије, Администратор уређаја и Play заштита
• Захтевање дозвола за инсталацију СМС-а и пакета
• Брисање база података дневника уређаја

Ове функције заједно омогућавају нападачима да одрже контролу, избегну откривање и прецизно изврше финансијске преваре.

Тактике дистрибуције: IPTV-тематски дропери

Масив се шири путем СМС фишинг кампања користећи апликације за инсталирање које имитирају IPTV сервисе. Након инсталације, апликација подстиче жртву да инсталира „важно“ ажурирање и тражи дозволу за инсталирање апликација из спољних извора.

Идентификовани злонамерни артефакти укључују:

• IPTV24 (hfgx.mqfy.fejku) – Апликација за спуштање
• Google Play (hobfjp.anrxf.cucm) – Масовни корисни терет

У већини документованих случајева, легитимне IPTV апликације нису биле угрожене. Уместо тога, дропер је само приказивао веб садржај везан за IPTV путем WebView-а, стварајући илузију функционалности док се злонамерни софтвер извршавао у позадини.

Током протеклих шест месеци, сличне ТВ кампање са промотивним садржајем првенствено су биле усмерене на Шпанију, Португал, Француску и Турску.

Индикатори комерцијализације и континуираног развоја

Масив улази у већ засићен екосистем злонамерног софтвера за Андроид, истичући сталну потражњу за готовим решењима за финансијске преваре унутар сајбер криминалних заједница.

Иако још није потврђено да се ради о понуди „малвер као услуга“, анализа указује на кретање у том правцу. Увођење API кључева за комуникацију са сервером сугерише напор да се стандардизују операције и потенцијално омогући коришћење од стране трећих страна. Преглед кода додатно открива активан развој, сигнализирајући да би се у будућим итерацијама могле појавити додатне функције и проширене могућности.