Massiv Mobil Kötü Amaçlı Yazılım
Siber güvenlik analistleri, finansal hırsızlığı hedefleyen cihaz ele geçirme (DTO) saldırıları gerçekleştirmek üzere tasarlanmış, Massiv olarak bilinen gelişmiş bir Android bankacılık truva atını ortaya çıkardı. Kötü amaçlı yazılım, kendisini meşru IPTV uygulamaları gibi göstererek, çevrimiçi televizyon hizmetleri arayan kişileri hedef alıyor.
Sınırlı sayıda hedefli kampanyada tespit edilmiş olsa da, tehdit düzeyi oldukça yüksektir. Massiv yüklendikten sonra, saldırganların ele geçirilen cihazları uzaktan kontrol etmelerine, sahte işlemler gerçekleştirmelerine ve kurbanların mobil bankacılık hesaplarını doğrudan istismar etmelerine olanak tanır.
Söz konusu kötü amaçlı yazılım, bu yılın başlarında Portekiz ve Yunanistan'daki kullanıcıları hedef alan kampanyalarda tespit edilmişti. Ancak adli analizler, örnek varyantların izini 2025 yılının başlarına kadar sürerek, daha önce küçük ölçekli test operasyonlarının yapıldığını ortaya koydu.
İçindekiler
Gelişmiş Kimlik Bilgisi Toplama ve Üst Üste Bindirme İşlemi
Massiv, gelişmiş Android bankacılık kötü amaçlı yazılımlarında yaygın olarak bulunan yetenekleri bünyesinde barındırır. Android'in MediaProjection API'si aracılığıyla ekran akışı, tuş kaydedici, SMS engelleme ve meşru bankacılık ve finans uygulamalarının üzerine yerleştirilen aldatıcı katmanlar da dahil olmak üzere birden fazla teknikle kimlik bilgilerinin çalınmasını kolaylaştırır. Bu katmanlar, kullanıcılardan giriş kimlik bilgilerini ve kredi kartı bilgilerini göndermelerini ister.
Dikkat çekici bir kampanya özellikle Portekiz hükümetinin kimlik belgelerini saklamak ve Dijital Mobil Anahtarı (Chave Móvel Digital veya CMD) yönetmek için kullandığı gov.pt uygulamasını hedef aldı. Kötü amaçlı yazılım, resmi arayüzü taklit ederek kullanıcılardan telefon numaraları ve PIN kodları istedi; bu da muhtemelen Müşterinizi Tanıyın (KYC) doğrulama süreçlerini atlatmayı amaçlıyordu.
Soruşturmalar ayrıca, çalınan verilerin mağdurların adına yeni banka hesapları açmak için kullanıldığı durumları da ortaya çıkardı. Bu sahte hesaplar daha sonra kara para aklama işlemleri veya yetkisiz kredi başvuruları için kullanıldı ve bunların hiçbiri mağdurların haberi olmadan gerçekleşti.
Uzaktan Kumanda Özellikleri ve Ekran Görüntüsü Yakalama Engelleme
Kimlik bilgilerini çalmanın ötesinde, Massiv tamamen işlevsel bir uzaktan erişim aracı olarak çalışır. Saldırganlara, kötü amaçlı faaliyetleri gizlemek için siyah bir ekran katmanı gösterirken, enfekte olmuş cihazların gizli kontrolünü sağlar. Bu teknikler, Android erişilebilirlik hizmetlerinden yararlanır; bu taktik, Crocodilus, Datzbro ve Klopatra gibi diğer bankacılık truva atlarında da gözlemlenmiştir.
Bazı finansal uygulamalar ekran görüntüsü alma koruma mekanizmaları kullanır. Bu savunmaları aşmak için Massiv, 'UI-ağaç modu' olarak adlandırılan bir teknik kullanır. Bu yöntem, AccessibilityWindowInfo köklerini dolaşır ve cihazın görünür arayüzünün ayrıntılı bir temsilini yeniden oluşturmak için AccessibilityNodeInfo nesnelerini özyinelemeli olarak işler.
Kötü amaçlı yazılım, görünür metin, içerik açıklamaları, kullanıcı arayüzü öğeleri, ekran koordinatları ve öğelerin tıklanabilir, düzenlenebilir, odaklanmış veya etkin olup olmadığını gösteren etkileşim bayraklarını içeren yapılandırılmış bir JSON haritası oluşturur. Yalnızca metin içeren görünür düğümler saldırganın komuta altyapısına iletilir ve bu da verilen komutlar aracılığıyla hassas uzaktan etkileşime olanak tanır.
Kapsamlı Kötü Amaçlı İşlevsellik
Massiv, kapsamlı cihaz manipülasyonu ve kalıcılığı sağlayan geniş bir operasyonel araç setine sahiptir. Yetenekleri şunlardır:
- Siyah ekran kaplamasını etkinleştirme veya devre dışı bırakma, sesleri ve titreşimi kapatma
- Cihaz ekranını yayınlamak ve cihaz bilgilerini göndermek.
- Uzaktan tıklama ve kaydırma hareketleri gerçekleştirme
- Pano içeriğini değiştirme
- Desen doğrulaması kullanarak cihazın kilidini açma
- Hedeflenen uygulamalar veya kilit ekranları için katmanlar dağıtma
- Katman paketlerini indirme ve ek APK dosyalarını yükleme
- Pil optimizasyonu, aygıt yöneticisi ve Play Protect gibi sistem ayarlarını açma.
- SMS ve paket yükleme izinleri isteniyor.
- Cihaz günlük veritabanlarını temizleme
Bu işlevlerin tamamı, saldırganların kontrolü elinde tutmasına, tespit edilmekten kaçınmasına ve finansal dolandırıcılığı hassas bir şekilde gerçekleştirmesine olanak tanır.
Dağıtım Taktikleri: IPTV Temalı Dropper’lar
Massiv, IPTV hizmetlerini taklit eden dropper uygulamaları kullanarak SMS kimlik avı kampanyaları yoluyla yayılıyor. Kurulumdan sonra, dropper kurbanı 'önemli' bir güncelleme yüklemeye teşvik ediyor ve harici kaynaklardan uygulama yükleme izni istiyor.
Tespit edilen zararlı unsurlar şunlardır:
- IPTV24 (hfgx.mqfy.fejku) – Dropper uygulaması
- Google Play (hobfjp.anrxf.cucm) – Büyük miktarda veri yükü
Belgelenmiş vakaların çoğunda, meşru IPTV uygulamaları tehlikeye atılmamıştır. Bunun yerine, zararlı yazılım yalnızca bir WebView aracılığıyla IPTV ile ilgili web içeriği görüntüleyerek, arka planda çalışırken işlevsellik yanılsaması yaratmıştır.
Son altı ayda, benzer televizyon temalı tanıtım kampanyaları ağırlıklı olarak İspanya, Portekiz, Fransa ve Türkiye'yi hedef aldı.
Ticari Hale Gelme ve Devam Eden Gelişme Göstergeleri
Massiv, halihazırda doymuş bir Android kötü amaçlı yazılım ekosistemine girerek, siber suçlu toplulukları içinde kullanıma hazır finansal dolandırıcılık çözümlerine yönelik sürekli talebin altını çiziyor.
Henüz bir Kötü Amaçlı Yazılım Hizmeti (Malware-as-a-Service) olarak onaylanmamış olsa da, analizler bu yönde bir hareket olduğunu gösteriyor. Arka uç iletişimi için API anahtarlarının tanıtılması, işlemleri standartlaştırma ve potansiyel olarak üçüncü taraf kullanımını mümkün kılma çabasını gösteriyor. Kod incelemesi ayrıca aktif geliştirmeyi ortaya koyarak, gelecekteki yinelemelerde ek özelliklerin ve genişletilmiş yeteneklerin ortaya çıkabileceğini işaret ediyor.
