Масове мобільне шкідливе програмне забезпечення
Аналітики з кібербезпеки виявили складний банківський троян для Android, відомий як Massiv, розроблений для здійснення атак захоплення пристроїв (DTO), спрямованих на фінансову крадіжку. Шкідливе програмне забезпечення маскується під легітимні програми IPTV, націлені на людей, які шукають онлайн-телевізійні сервіси.
Хоча виявлено в обмеженій кількості цілеспрямованих кампаній, рівень загрози є значним. Після встановлення Massiv дозволяє зловмисникам дистанційно керувати скомпрометованими пристроями, проводити шахрайські транзакції та безпосередньо використовувати мобільні банківські рахунки жертв.
Шкідливе програмне забезпечення було вперше виявлено в кампаніях, спрямованих на користувачів у Португалії та Греції, на початку цього року. Однак, судово-медичний аналіз простежив варіанти зразків до початку 2025 року, що свідчить про попередні менш масштабні тестові операції.
Зміст
Розширений збір облікових даних та маніпулювання накладанням
Massiv включає можливості, які зазвичай зустрічаються в передових банківських шкідливих програмах для Android. Він сприяє крадіжці облікових даних за допомогою кількох методів, включаючи потокову передачу екрана через API MediaProjection від Android, кейлоггинг, перехоплення SMS та оманливі накладання, що розміщуються поверх легітимних банківських та фінансових програм. Ці накладання спонукають користувачів вводити облікові дані для входу та інформацію про кредитну картку.
Помітна кампанія була спрямована саме на gov.pt, португальський урядовий застосунок, який використовується для зберігання документів, що посвідчують особу, та керування цифровим мобільним ключем (Chave Móvel Digital або CMD). Шкідливе програмне забезпечення видавало себе за офіційний інтерфейс і запитувало номери телефонів і PIN-коди користувачів, ймовірно, щоб обійти процеси перевірки «Знай свого клієнта» (KYC).
Розслідування також виявили випадки, коли викрадені дані використовувалися для відкриття нових банківських рахунків на імена жертв. Ці шахрайські рахунки згодом використовувалися для операцій з відмивання грошей або несанкціонованих заявок на позики, і все це без відома жертв.
Можливості дистанційного керування та уникнення захоплення екрану
Окрім крадіжки облікових даних, Massiv працює як повнофункціональний інструмент віддаленого доступу. Він надає зловмисникам прихований контроль над зараженими пристроями, одночасно відображаючи чорний екран для приховування шкідливої активності. Ці методи використовують служби доступності Android, тактика, яка також спостерігається в інших банківських троянах, таких як Crocodilus, Datzbro та Klopatra.
Деякі фінансові програми реалізують механізми захисту від знімків екрана. Щоб обійти ці захисні механізми, Massiv використовує техніку, відому як «режим дерева інтерфейсу користувача». Цей метод проходить через корені AccessibilityWindowInfo та рекурсивно обробляє об'єкти AccessibilityNodeInfo для реконструкції детального представлення видимого інтерфейсу пристрою.
Шкідливе програмне забезпечення генерує структуровану карту JSON, що містить видимий текст, описи контенту, елементи інтерфейсу користувача, координати екрана та прапорці взаємодії, які вказують на те, чи є елементи клікабельними, редагуємими, у фокусі або ввімкненими. Лише видимі вузли, що містять текст, передаються до командної інфраструктури зловмисника, що дозволяє здійснювати точну віддалену взаємодію за допомогою виданих команд.
Комплексний шкідливий функціонал
Massiv оснащений широким набором операційних інструментів, що дозволяє здійснювати значні маніпуляції з пристроями та їх збереження. Його можливості включають:
- Активація або вимкнення чорного екрана, вимкнення звуків та вібрації
- Потокове передавання екрана пристрою та надсилання інформації про пристрій
- Дистанційне виконання жестів клацання та свайпу
- Зміна вмісту буфера обміну
- Розблокування пристрою за допомогою автентифікації за графічним ключем
- Розгортання оверлеїв для цільових програм або екранів блокування
- Завантаження пакетів оверлеїв та встановлення додаткових APK-файлів
- Відкриття системних налаштувань, таких як Оптимізація батареї, Адміністратор пристрою та Play Protect
- Запит дозволів на встановлення SMS та пакетів
- Очищення баз даних журналів пристроїв
Ці функції разом дозволяють зловмисникам підтримувати контроль, уникати виявлення та точно здійснювати фінансові шахрайства.
Тактика розповсюдження: дроппери на тему IPTV
Massiv поширюється через SMS-фішингові кампанії з використанням програм-дропперів, що імітують сервіси IPTV. Після встановлення програма-дроппер пропонує жертві встановити «важливе» оновлення та запитує дозвіл на встановлення програм із зовнішніх джерел.
Виявлені шкідливі артефакти включають:
- IPTV24 (hfgx.mqfy.fejku) – додаток-дроппер
- Google Play (hobfjp.anrxf.cucm) – Масове корисне навантаження
У більшості задокументованих випадків легітимні IPTV-додатки не були скомпрометовані. Натомість, дроппер просто відображав веб-контент, пов'язаний з IPTV, через WebView, створюючи ілюзію функціональності, поки шкідливе програмне забезпечення працювало у фоновому режимі.
Протягом останніх шести місяців подібні телевізійні кампанії з рекламою реклами були спрямовані переважно на Іспанію, Португалію, Францію та Туреччину.
Індикатори комерціалізації та постійного розвитку
Massiv входить у вже насичену екосистему шкідливого програмного забезпечення для Android, що підкреслює постійний попит на готові рішення для боротьби з фінансовим шахрайством у спільнотах кіберзлочинців.
Хоча ще не підтверджено, що це пропозиція «шкідливе програмне забезпечення як послуга», аналіз вказує на рух у цьому напрямку. Впровадження ключів API для взаємодії з серверною частиною свідчить про зусилля щодо стандартизації операцій та потенційної можливості використання сторонніми розробниками. Огляд коду також виявляє активну розробку, що сигналізує про те, що в майбутніх ітераціях можуть з'явитися додаткові функції та розширені можливості.
