Massiv 行動惡意軟體

翻譯為：

網路安全分析師發現了一種名為 Massiv 的複雜安卓銀行木馬，該木馬旨在執行設備劫持 (DTO) 攻擊，以竊取金融資金。該惡意軟體偽裝成合法的 IPTV 應用程序，專門針對搜尋線上電視服務的用戶。

儘管目前僅在少數特定攻擊活動中發現 Massiv，但其威脅等級仍然很高。一旦安裝，攻擊者即可遠端控制受感染的設備，進行詐欺交易，並直接盜用受害者的手機銀行帳戶。

今年早些時候，針對葡萄牙和希臘用戶的攻擊活動中首次發現了該惡意軟體。然而，取證分析已將樣本變種追溯到2025年初，顯示先前可能進行過小規模的測試。

Massiv 整合了通常在高階安卓銀行惡意軟體中才會出現的功能。它透過多種技術竊取使用者憑證，包括利用安卓的 MediaProjection API 進行螢幕串流、鍵盤記錄、簡訊攔截，以及在合法的銀行和金融應用程式上疊加欺騙性介面。這些介面會誘使用戶提交登入憑證和信用卡資訊。

一項引人注目的攻擊活動專門針對 gov.pt，這是一款葡萄牙政府應用程序，用於儲存身分證明文件和管理數位行動金鑰（Chave Móvel Digital 或 CMD）。惡意程式偽裝成官方介面，並索取使用者的電話號碼和 PIN 碼，其目的很可能是為了繞過「了解你的客戶」（KYC）驗證流程。

調查還發現，不法分子利用竊取的資料以受害者的名義開設新的銀行帳戶。這些詐欺帳戶隨後被用於洗錢或未經授權的貸款申請，而受害者對此毫不知情。

除了竊取憑證之外，Massiv 也是一個功能齊全的遠端存取工具。它允許攻擊者隱蔽地控制受感染的設備，同時顯示黑色螢幕疊加層以掩蓋惡意活動。這些技術利用了 Android 的輔助功能服務，這種策略也出現在其他銀行木馬（例如 Crocodilus、Datzbro 和 Klopatra）。

某些金融應用程式實現了螢幕截圖保護機制。為了繞過這些防禦措施，Massiv 採用了一種稱為「UI 樹模式」的技術。此方法遍歷 AccessibilityWindowInfo 的根節點，並遞歸處理 AccessibilityNodeInfo 對象，從而重建設備可見界面的詳細表示。

該惡意軟體會產生一個結構化的 JSON 映射，其中包含可見文字、內容描述、使用者介面元素、螢幕座標以及互動標誌，這些標誌指示元素是否可點擊、可編輯、已聚焦或已啟用。只有包含文字的可見節點才會被傳輸到攻擊者的命令基礎架構，從而允許透過發出命令進行精確的遠端互動。

Massiv 配備了一套強大的操作工具包，能夠對設備進行廣泛的操控和持久化。其功能包括：

這些功能共同使攻擊者能夠維持控制權、逃避偵測並精準地實施金融詐欺。

Massiv 透過簡訊釣魚活動傳播，利用偽裝成 IPTV 服務的投放器應用程式。安裝後，該投放器會提示受害者安裝「重要」更新，並要求安裝來自外部來源的應用程式。

已識別的惡意程式包括：

在大多數已記錄的案例中，合法的 IPTV 應用程式並未受到攻擊。相反，惡意軟體只是透過 WebView 顯示與 IPTV 相關的網頁內容，營造出應用程式正常運作的假象，而惡意軟體則在背景執行。

在過去六個月裡，類似的電視主題投放活動主要針對西班牙、葡萄牙、法國和土耳其。

Massiv 進入了一個已經飽和的 Android 惡意軟體生態系統，凸顯了網路犯罪分子群體對一站式金融詐欺解決方案的持續需求。

雖然尚未正式確認其為惡意軟體即服務 (MaaS) 產品，但分析表明其發展方向正朝著這個方向邁進。引入用於後端通訊的 API 金鑰表明其致力於規範操作，並可能允許第三方使用。程式碼審查進一步揭示了其積極的開發態勢，預示著未來版本可能會推出更多功能和擴展特性。

搜索