Massiv 移动恶意软件

翻译为：

网络安全分析师发现了一种名为 Massiv 的复杂安卓银行木马，该木马旨在执行设备劫持 (DTO) 攻击，以窃取金融资金。该恶意软件伪装成合法的 IPTV 应用程序，专门针对搜索在线电视服务的用户。

尽管目前仅在少数特定攻击活动中发现 Massiv，但其威胁级别仍然很高。一旦安装，攻击者即可远程控制受感染的设备，进行欺诈交易，并直接盗用受害者的手机银行账户。

今年早些时候，针对葡萄牙和希腊用户的攻击活动中首次发现了该恶意软件。然而，取证分析已将样本变种追溯到2025年初，表明此前可能进行过小规模的测试。

Massiv 集成了通常在高级安卓银行恶意软件中才会出现的功能。它通过多种技术窃取用户凭证，包括利用安卓的 MediaProjection API 进行屏幕串流、键盘记录、短信拦截，以及在合法的银行和金融应用程序上叠加欺骗性界面。这些界面会诱使用户提交登录凭证和信用卡信息。

一项引人注目的攻击活动专门针对 gov.pt，这是一款葡萄牙政府应用程序，用于存储身份证明文件和管理数字移动密钥（Chave Móvel Digital 或 CMD）。恶意程序伪装成官方界面，并索取用户的电话号码和 PIN 码，其目的很可能是为了绕过“了解你的客户”（KYC）验证流程。

调查还发现，不法分子利用窃取的数据以受害者的名义开设新的银行账户。这些欺诈账户随后被用于洗钱或未经授权的贷款申请，而受害者对此毫不知情。

除了窃取凭证之外，Massiv 还是一个功能齐全的远程访问工具。它允许攻击者隐蔽地控制受感染的设备，同时显示黑色屏幕叠加层以掩盖恶意活动。这些技术利用了 Android 的辅助功能服务，这种策略也出现在其他银行木马（例如 Crocodilus、Datzbro 和 Klopatra）中。

某些金融应用程序实现了屏幕截图保护机制。为了绕过这些防御措施，Massiv 采用了一种称为“UI 树模式”的技术。该方法遍历 AccessibilityWindowInfo 的根节点，并递归处理 AccessibilityNodeInfo 对象，从而重建设备可见界面的详细表示。

该恶意软件会生成一个结构化的 JSON 映射，其中包含可见文本、内容描述、用户界面元素、屏幕坐标以及交互标志，这些标志指示元素是否可点击、可编辑、已聚焦或已启用。只有包含文本的可见节点才会被传输到攻击者的命令基础架构，从而允许通过发出命令进行精确的远程交互。

Massiv 配备了一套功能强大的操作工具包，能够对设备进行广泛的操控和持久化。其功能包括：

这些功能共同使攻击者能够保持控制权、逃避检测并精准地实施金融欺诈。

Massiv 通过短信钓鱼活动传播，利用伪装成 IPTV 服务的投放器应用程序。安装后，该投放器会提示受害者安装“重要”更新，并请求安装来自外部来源的应用程序。

已识别的恶意程序包括：

在大多数已记录的案例中，合法的 IPTV 应用并未受到攻击。相反，恶意软件只是通过 WebView 显示与 IPTV 相关的网页内容，营造出应用正常运行的假象，而恶意软件则在后台运行。

过去六个月里，类似的电视主题投放活动主要针对西班牙、葡萄牙、法国和土耳其。

Massiv 进入了一个已经饱和的 Android 恶意软件生态系统，凸显了网络犯罪分子群体对一站式金融欺诈解决方案的持续需求。

虽然尚未正式确认其为恶意软件即服务 (MaaS) 产品，但分析表明其发展方向正朝着这个方向迈进。引入用于后端通信的 API 密钥表明其致力于规范操作，并可能允许第三方使用。代码审查进一步揭示了其积极的开发态势，预示着未来版本可能会推出更多功能和扩展特性。

搜索