Malware sa Mobile ng Massiv

Natuklasan ng mga cybersecurity analyst ang isang sopistikadong Android banking trojan na kilala bilang Massiv, na ginawa upang magsagawa ng mga pag-atake ng device takeover (DTO) na naglalayong magnakaw ng pera. Nagbabalatkayo ang malware bilang mga lehitimong IPTV application, na tinatarget ang mga indibidwal na naghahanap ng mga online na serbisyo sa telebisyon.

Bagama't natukoy sa limitadong bilang ng mga nakatutok na kampanya, malaki ang antas ng banta. Kapag na-install na, binibigyang-daan ng Massiv ang mga umaatake na malayuang kontrolin ang mga nakompromisong device, magsagawa ng mga mapanlinlang na transaksyon, at direktang pagsamantalahan ang mga mobile banking account ng mga biktima.

Ang malware ay unang natukoy sa mga kampanyang nagta-target sa mga gumagamit sa Portugal at Greece nitong mga unang araw ng taong ito. Gayunpaman, natunton ng forensic analysis ang mga variant ng sample pabalik sa unang bahagi ng 2025, na nagmumungkahi ng mga naunang operasyon sa mas maliliit na pagsubok.

Advanced na Pag-aani ng Kredensyal at Manipulasyon ng Overlay

Isinasama ng Massiv ang mga kakayahang karaniwang matatagpuan sa mga advanced na malware sa pagbabangko ng Android. Pinapadali nito ang pagnanakaw ng kredensyal sa pamamagitan ng maraming pamamaraan, kabilang ang screen streaming sa pamamagitan ng MediaProjection API ng Android, keylogging, SMS interception, at mga mapanlinlang na overlay na inilalagay sa mga lehitimong aplikasyon sa pagbabangko at pananalapi. Hinihikayat ng mga overlay na ito ang mga user na magsumite ng mga kredensyal sa pag-login at impormasyon ng credit card.

Isang kapansin-pansing kampanya ang partikular na tumutok sa gov.pt, isang aplikasyon ng gobyerno ng Portugal na ginagamit upang mag-imbak ng mga dokumento ng pagkakakilanlan at pamahalaan ang Digital Mobile Key (Chave Móvel Digital o CMD). Ginaya ng malisyosong overlay ang opisyal na interface at hiniling ang mga numero ng telepono at PIN code ng mga user, na malamang ay upang makaiwas sa mga proseso ng pag-verify ng Know Your Customer (KYC).

Isiniwalat din sa mga imbestigasyon ang mga pagkakataon kung saan ginamit ang ninakaw na datos upang magbukas ng mga bagong bank account sa pangalan ng mga biktima. Ang mga mapanlinlang na account na ito ay kalaunan ay ginamit para sa mga operasyon ng money laundering o mga hindi awtorisadong aplikasyon ng pautang, lahat nang hindi nalalaman ng mga biktima.

Mga Kakayahan sa Remote Control at Pag-iwas sa Screen Capture

Bukod sa pagnanakaw ng kredensyal, ang Massiv ay gumagana bilang isang ganap na gumaganang tool para sa remote access. Nagbibigay ito sa mga umaatake ng palihim na kontrol sa mga nahawaang device habang nagpapakita ng black screen overlay upang itago ang malisyosong aktibidad. Ginagamit ng mga pamamaraang ito ang mga serbisyo ng accessibility ng Android, isang taktika na naobserbahan din sa iba pang mga banking trojan tulad ng Crocodilus, Datzbro, at Klopatra.

Ang ilang aplikasyon sa pananalapi ay nagpapatupad ng mga mekanismo ng proteksyon laban sa screen-capture. Upang malampasan ang mga depensang ito, gumagamit ang Massiv ng isang pamamaraan na tinatawag na 'UI-tree mode.' Ang pamamaraang ito ay tumatawid sa mga ugat ng AccessibilityWindowInfo at paulit-ulit na pinoproseso ang mga bagay ng AccessibilityNodeInfo upang muling buuin ang isang detalyadong representasyon ng nakikitang interface ng device.

Ang malware ay bumubuo ng isang nakabalangkas na mapa ng JSON na naglalaman ng nakikitang teksto, mga paglalarawan ng nilalaman, mga elemento ng UI, mga coordinate ng screen, at mga flag ng interaksyon na nagpapahiwatig kung ang mga elemento ay maaaring i-click, i-edit, i-focus, o paganahin. Tanging ang mga nakikitang node na naglalaman ng teksto ang ipinapadala sa imprastraktura ng utos ng attacker, na nagpapahintulot sa tumpak na malayuang pakikipag-ugnayan sa pamamagitan ng mga inilabas na utos.

Komprehensibong Malisyosong Paggana

Ang Massiv ay mayroong malawak na toolkit sa pagpapatakbo na nagbibigay-daan sa malawakang manipulasyon at pagtitiyaga ng aparato. Kabilang sa mga kakayahan nito ang:

• Pag-activate o pag-disable ng black screen overlay, pag-mute ng mga tunog at vibration
• Pag-stream ng screen ng device at pagpapadala ng impormasyon ng device
• Pagsasagawa ng mga kilos na "click" at "swipe" nang malayuan
• Pagbabago ng nilalaman ng clipboard
• Pag-unlock ng device gamit ang pattern authentication
• Pag-deploy ng mga overlay para sa mga naka-target na application o lock screen
• Pag-download ng mga overlay package at pag-install ng mga karagdagang APK file
• Binubuksan ang mga setting ng system tulad ng Battery Optimization, Device Administrator, at Play Protect
• Paghiling ng mga pahintulot sa pag-install ng SMS at package
• Pag-clear ng mga database ng log ng device

Ang mga tungkuling ito ay sama-samang nagbibigay-daan sa mga umaatake na mapanatili ang kontrol, maiwasan ang pagtuklas, at maisagawa ang pandaraya sa pananalapi nang may katumpakan.

Mga Taktika sa Pamamahagi: Mga Dropper na May Temang IPTV

Kumakalat ang Massiv sa pamamagitan ng mga kampanya ng SMS phishing gamit ang mga dropper application na ginagaya ang mga serbisyo ng IPTV. Pagkatapos ng pag-install, hihilingin ng dropper sa biktima na mag-install ng isang 'mahalagang' update at hihingi ng pahintulot na mag-install ng mga application mula sa mga panlabas na mapagkukunan.

Kabilang sa mga natukoy na malisyosong artifact ang:

• IPTV24 (hfgx.mqfy.fejku) – Aplikasyon ng Dropper
• Google Play (hobfjp.anrxf.cucm) – Napakalaking kargamento

Sa karamihan ng mga dokumentadong kaso, ang mga lehitimong aplikasyon ng IPTV ay hindi nakompromiso. Sa halip, ipinapakita lamang ng dropper ang nilalaman ng web na may kaugnayan sa IPTV sa pamamagitan ng isang WebView, na lumilikha ng ilusyon ng paggana habang isinasagawa ang malware sa background.

Sa nakalipas na anim na buwan, ang mga katulad na dropper campaign na may temang TV ay pangunahing naka-target sa Spain, Portugal, France, at Turkey.

Mga Indikasyon ng Komersyalisasyon at Patuloy na Pag-unlad

Pumasok ang Massiv sa isang puspos nang Android malware ecosystem, na nagbibigay-diin sa patuloy na demand para sa mga turnkey na solusyon sa pandaraya sa pananalapi sa loob ng mga komunidad ng cybercriminal.

Bagama't hindi pa nakumpirma bilang isang alok na Malware-as-a-Service, ipinapahiwatig ng pagsusuri ang paggalaw patungo sa direksyong iyon. Ang pagpapakilala ng mga API key para sa komunikasyon sa backend ay nagmumungkahi ng isang pagsisikap na gawing pamantayan ang mga operasyon at posibleng paganahin ang paggamit ng ikatlong partido. Ang pagsusuri ng code ay higit pang nagpapakita ng aktibong pag-unlad, na nagpapahiwatig na ang mga karagdagang tampok at pinalawak na kakayahan ay maaaring lumitaw sa mga susunod na pag-ulit.