Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara Massiv mobil skadlig programvara

Massiv mobil skadlig programvara

Med Mezo år Mobil skadlig programvara, Banktrojan
Översätt till:

Cybersäkerhetsanalytiker har upptäckt en sofistikerad Android-banktrojan som kallas Massiv, konstruerad för att utföra DTO-attacker (Device Takeover) som syftar till ekonomisk stöld. Skadlig kod förklär sig som legitima IPTV-applikationer och riktar sig mot individer som söker efter online-tv-tjänster.

Även om hotnivån identifierades i ett begränsat antal fokuserade kampanjer är den betydande. När Massiv väl är installerat kan angripare fjärrstyra komprometterade enheter, utföra bedrägliga transaktioner och direkt utnyttja offrens mobila bankkonton.

Skadlig programvara upptäcktes ursprungligen i kampanjer riktade mot användare i Portugal och Grekland tidigare i år. Forensisk analys har dock spårat exempelvarianter tillbaka till början av 2025, vilket tyder på tidigare mindre testverksamheter.

Avancerad insamling av autentiseringsuppgifter och manipulation av överlägg

Massiv innehåller funktioner som vanligtvis finns i avancerad skadlig kod för banktjänster på Android. Det underlättar stöld av inloggningsuppgifter genom flera tekniker, inklusive skärmströmning via Androids MediaProjection API, keylogging, SMS-avlyssning och vilseledande överlagringar placerade över legitima bank- och finansapplikationer. Dessa överlagringar uppmanar användare att ange inloggningsuppgifter och kreditkortsinformation.

En anmärkningsvärd kampanj riktade sig specifikt mot gov.pt, en portugisisk myndighetsapplikation som används för att lagra identitetsdokument och hantera den digitala mobilnyckeln (Chave Móvel Digital eller CMD). Den skadliga applikationen utgav sig för att vara det officiella gränssnittet och begärde användarnas telefonnummer och PIN-koder, sannolikt för att kringgå verifieringsprocesserna för Know Your Customer (KYC).

Utredningarna avslöjade också fall där stulen data utnyttjades för att öppna nya bankkonton i offrens namn. Dessa bedrägliga konton användes därefter för penningtvätt eller obehöriga låneansökningar, allt utan offrens medvetenhet.

Fjärrkontrollfunktioner och undvikande av skärmdumpar

Utöver stöld av autentiseringsuppgifter fungerar Massiv som ett fullt fungerande verktyg för fjärråtkomst. Det ger angripare hemlig kontroll över infekterade enheter samtidigt som det visar en svart skärmöverlagring för att dölja skadlig aktivitet. Dessa tekniker utnyttjar Android-tillgänglighetstjänster, en taktik som också observerats i andra banktrojaner som Crocodilus, Datzbro och Klopatra.

Vissa finansiella applikationer implementerar skärmdumpsskyddsmekanismer. För att kringgå dessa försvar använder Massiv en teknik som kallas "UI-tree-läge". Denna metod passerar AccessibilityWindowInfo-rötter och bearbetar rekursivt AccessibilityNodeInfo-objekt för att rekonstruera en detaljerad representation av enhetens synliga gränssnitt.

Den skadliga programvaran genererar en strukturerad JSON-karta som innehåller synlig text, innehållsbeskrivningar, UI-element, skärmkoordinater och interaktionsflaggor som indikerar om elementen är klickbara, redigerbara, fokuserade eller aktiverade. Endast synliga noder som innehåller text överförs till angriparens kommandoinfrastruktur, vilket möjliggör exakt fjärrinteraktion genom utfärdade kommandon.

Omfattande skadlig funktionalitet

Massiv är utrustad med en bred verktygslåda som möjliggör omfattande manipulation och beständighet av enheter. Dess funktioner inkluderar:

  • Aktivera eller inaktivera en svart skärmöverlagring, tysta ljud och vibrationer
  • Strömma enhetens skärm och skicka enhetsinformation
  • Utföra klick- och svepgester på distans
  • Ändra innehållet i urklippet
  • Låsa upp enheten med mönsterautentisering
  • Distribuera överlägg för riktade applikationer eller låsskärmar
  • Ladda ner overlay-paket och installera ytterligare APK-filer
  • Öppna systeminställningar som Batterioptimering, Enhetsadministratör och Play Protect
  • Begär behörigheter för SMS och paketinstallation
  • Rensa enhetens loggdatabaser

Dessa funktioner gör det tillsammans möjligt för angripare att behålla kontrollen, undvika upptäckt och utföra ekonomiska bedrägerier med precision.

Distributionstaktik: IPTV-tema droppare

Massiv sprids via SMS-nätfiskekampanjer med hjälp av dropper-applikationer som imiterar IPTV-tjänster. Efter installationen uppmanar dropper-applikationen offret att installera en "viktig" uppdatering och begär tillåtelse att installera applikationer från externa källor.

Identifierade skadliga artefakter inkluderar:

  • IPTV24 (hfgx.mqfy.fejku) – Dropper-applikation
  • Google Play (hobfjp.anrxf.cucm) – Massiv nyttolast

I de flesta dokumenterade fallen komprometterades inte legitima IPTV-applikationer. Istället visade droppern bara IPTV-relaterat webbinnehåll via en WebView, vilket skapade en illusion av funktionalitet medan skadlig programvara kördes i bakgrunden.

Under de senaste sex månaderna har liknande TV-tema-kampanjer för dropper främst riktat sig mot Spanien, Portugal, Frankrike och Turkiet.

Indikatorer för kommersialisering och fortsatt utveckling

Massiv ger sig in i ett redan mättat ekosystem för Android-skadlig programvara, vilket understryker den ihållande efterfrågan på nyckelfärdiga lösningar för finansiella bedrägerier inom cyberkriminella grupper.

Även om det ännu inte bekräftats som ett Malware-as-a-Service-erbjudande, tyder analysen på en rörelse i den riktningen. Införandet av API-nycklar för backend-kommunikation tyder på en ansträngning att standardisera driften och potentiellt möjliggöra användning av tredje part. Kodgranskning avslöjar vidare aktiv utveckling, vilket signalerar att ytterligare funktioner och utökade möjligheter kan komma att dyka upp i framtida iterationer.

Trendigt

Mest sedda

Läser in...