Phần mềm độc hại Massiv Mobile

Các nhà phân tích an ninh mạng đã phát hiện ra một loại mã độc Trojan ngân hàng Android tinh vi có tên Massiv, được thiết kế để thực hiện các cuộc tấn công chiếm quyền điều khiển thiết bị (DTO) nhằm mục đích đánh cắp tài chính. Phần mềm độc hại này ngụy trang thành các ứng dụng IPTV hợp pháp, nhắm mục tiêu vào những người đang tìm kiếm các dịch vụ truyền hình trực tuyến.

Mặc dù chỉ được phát hiện trong một số ít chiến dịch nhắm mục tiêu, mức độ đe dọa vẫn rất đáng kể. Sau khi được cài đặt, Massiv cho phép kẻ tấn công điều khiển từ xa các thiết bị bị xâm nhập, thực hiện các giao dịch gian lận và trực tiếp khai thác tài khoản ngân hàng di động của nạn nhân.

Phần mềm độc hại này ban đầu được phát hiện trong các chiến dịch nhắm mục tiêu vào người dùng ở Bồ Đào Nha và Hy Lạp hồi đầu năm nay. Tuy nhiên, phân tích pháp y đã truy tìm được các biến thể mẫu có từ đầu năm 2025, cho thấy các hoạt động thử nghiệm quy mô nhỏ hơn đã diễn ra trước đó.

Thu thập thông tin đăng nhập nâng cao và thao tác chồng lớp

Massiv tích hợp các khả năng thường thấy trong phần mềm độc hại ngân hàng Android cao cấp. Nó tạo điều kiện thuận lợi cho việc đánh cắp thông tin đăng nhập thông qua nhiều kỹ thuật, bao gồm truyền phát màn hình qua API MediaProjection của Android, ghi lại thao tác bàn phím, chặn tin nhắn SMS và các lớp phủ giả mạo được đặt chồng lên các ứng dụng ngân hàng và tài chính hợp pháp. Các lớp phủ này yêu cầu người dùng nhập thông tin đăng nhập và thông tin thẻ tín dụng.

Một chiến dịch đáng chú ý đã nhắm mục tiêu cụ thể vào gov.pt, một ứng dụng của chính phủ Bồ Đào Nha được sử dụng để lưu trữ các tài liệu nhận dạng và quản lý Khóa Di động Kỹ thuật số (Chave Móvel Digital hoặc CMD). Lớp phủ độc hại đã giả mạo giao diện chính thức và yêu cầu số điện thoại và mã PIN của người dùng, có khả năng nhằm mục đích vượt qua các quy trình xác minh "Biết khách hàng của bạn" (KYC).

Các cuộc điều tra cũng tiết lộ những trường hợp dữ liệu bị đánh cắp được sử dụng để mở các tài khoản ngân hàng mới dưới tên của nạn nhân. Những tài khoản gian lận này sau đó được sử dụng cho các hoạt động rửa tiền hoặc các đơn xin vay trái phép, tất cả đều diễn ra mà nạn nhân không hề hay biết.

Khả năng điều khiển từ xa và né tránh chụp màn hình

Ngoài việc đánh cắp thông tin đăng nhập, Massiv còn hoạt động như một công cụ truy cập từ xa đầy đủ chức năng. Nó cho phép kẻ tấn công bí mật điều khiển các thiết bị bị nhiễm trong khi hiển thị lớp phủ màn hình đen để che giấu hoạt động độc hại. Các kỹ thuật này khai thác các dịch vụ hỗ trợ tiếp cận của Android, một chiến thuật cũng được thấy trong các phần mềm độc hại ngân hàng khác như Crocodilus, Datzbro và Klopatra.

Một số ứng dụng tài chính triển khai các cơ chế bảo vệ chống chụp màn hình. Để vượt qua các biện pháp phòng vệ này, Massiv sử dụng kỹ thuật được gọi là 'chế độ cây giao diện người dùng'. Phương pháp này duyệt qua các gốc AccessibilityWindowInfo và xử lý đệ quy các đối tượng AccessibilityNodeInfo để tái tạo lại hình ảnh chi tiết về giao diện hiển thị của thiết bị.

Phần mềm độc hại tạo ra một bản đồ JSON có cấu trúc chứa văn bản hiển thị, mô tả nội dung, các phần tử giao diện người dùng, tọa độ màn hình và các cờ tương tác cho biết liệu các phần tử có thể nhấp chuột, chỉnh sửa, được chọn hay được kích hoạt hay không. Chỉ các nút hiển thị có chứa văn bản mới được truyền đến cơ sở hạ tầng điều khiển của kẻ tấn công, cho phép tương tác từ xa chính xác thông qua các lệnh được đưa ra.

Chức năng độc hại toàn diện

Massiv được trang bị bộ công cụ vận hành toàn diện, cho phép thao tác và duy trì dữ liệu trên thiết bị một cách rộng rãi. Các khả năng của nó bao gồm:

• Kích hoạt hoặc vô hiệu hóa lớp phủ màn hình đen, tắt âm thanh và chế độ rung
• Truyền phát màn hình thiết bị và gửi thông tin thiết bị
• Thực hiện các thao tác nhấp và vuốt từ xa
• Chỉnh sửa nội dung clipboard
• Mở khóa thiết bị bằng xác thực hình vẽ
• Triển khai các lớp phủ cho các ứng dụng hoặc màn hình khóa được nhắm mục tiêu.
• Tải xuống các gói lớp phủ và cài đặt các tệp APK bổ sung
• Mở các cài đặt hệ thống như Tối ưu hóa pin, Quản trị thiết bị và Play Protect.
• Yêu cầu quyền cài đặt tin nhắn SMS và gói phần mềm
• Xóa cơ sở dữ liệu nhật ký thiết bị

Tổng hợp các chức năng này cho phép kẻ tấn công duy trì quyền kiểm soát, né tránh sự phát hiện và thực hiện các hành vi gian lận tài chính một cách chính xác.

Chiến thuật phân phối: Dropper theo chủ đề IPTV

Massiv lây lan qua các chiến dịch lừa đảo qua tin nhắn SMS sử dụng các ứng dụng giả mạo dịch vụ IPTV. Sau khi cài đặt, ứng dụng giả mạo sẽ yêu cầu nạn nhân cài đặt bản cập nhật "quan trọng" và yêu cầu quyền cài đặt ứng dụng từ các nguồn bên ngoài.

Các phần tử độc hại được xác định bao gồm:

• IPTV24 (hfgx.mqfy.fejku) – Ứng dụng Dropper
• Google Play (hobfjp.anrxf.cucm) – Tải trọng Massiv

Trong hầu hết các trường hợp được ghi nhận, các ứng dụng IPTV hợp pháp không bị xâm phạm. Thay vào đó, phần mềm độc hại chỉ hiển thị nội dung web liên quan đến IPTV thông qua WebView, tạo ra ảo giác về chức năng hoạt động trong khi phần mềm độc hại vẫn chạy ngầm.

Trong sáu tháng qua, các chiến dịch quảng cáo dạng ống nhỏ giọt theo chủ đề truyền hình tương tự chủ yếu nhắm vào Tây Ban Nha, Bồ Đào Nha, Pháp và Thổ Nhĩ Kỳ.

Các chỉ số về thương mại hóa và phát triển liên tục

Massiv gia nhập vào một hệ sinh thái phần mềm độc hại Android vốn đã bão hòa, cho thấy nhu cầu dai dẳng đối với các giải pháp trọn gói chống gian lận tài chính trong cộng đồng tội phạm mạng.

Mặc dù chưa được xác nhận là dịch vụ phần mềm độc hại dưới dạng dịch vụ (Malware-as-a-Service), nhưng phân tích cho thấy có sự chuyển hướng theo hướng đó. Việc giới thiệu các khóa API để giao tiếp với máy chủ cho thấy nỗ lực chuẩn hóa hoạt động và có khả năng cho phép bên thứ ba sử dụng. Việc xem xét mã nguồn cũng cho thấy quá trình phát triển đang diễn ra tích cực, báo hiệu rằng các tính năng bổ sung và khả năng mở rộng có thể xuất hiện trong các phiên bản tương lai.