3

Новый Android-троян Massiv обошел защиту и крадет деньги

Специалисты компании ThreatFabric выявили новую угрозу для Android – троян Massiv, предназначенный для полного контроля над устройством и последующего хищения средств. Вредоносная программа маскируется под обычные приложения для просмотра IPTV. Схема заражения предельно проста: жертве приходит SMS-сообщение с предложением установить ТВ-плеер. После запуска приложение запрашивает «обязательное обновление», разрешая установку из непроверенных источников. Вместе с обновлением...

Новый Android-троян Massiv обошел защиту и крадет деньги

Специалисты компании ThreatFabric выявили новую угрозу для Android – троян Massiv, предназначенный для полного контроля над устройством и последующего хищения средств. Вредоносная программа маскируется под обычные приложения для просмотра IPTV. Схема заражения предельно проста: жертве приходит SMS-сообщение с предложением установить ТВ-плеер.

После запуска приложение запрашивает «обязательное обновление», разрешая установку из непроверенных источников. Вместе с обновлением на устройство попадает троян. Согласно данным ThreatFabric, Massiv уже использовался в нескольких таргетированных атаках. Несмотря на пока ограниченное распространение, угроза для пользователей мобильного банкинга очень высока: злоумышленники получают полный доступ к смартфону и могут совершать финансовые операции от имени владельца.

Функционал трояна включает перехват SMS, запись нажатий клавиш, трансляцию экрана с помощью MediaProjection API, отображение фальшивых окон поверх банковских приложений для кражи учетных данных и платежных данных. Зафиксированы случаи атаки на пользователей португальского государственного сервиса gov.pt, отвечающего за цифровую идентификацию. Поддельный интерфейс запрашивал номер телефона и PIN-код, предположительно, для обхода процедур KYC. ThreatFabric отмечает, что на основе украденных данных мошенники открывали банковские счета на имена жертв для отмывания денег или оформления кредитов. Massiv выступает как полноценный инструмент удаленного администрирования: может затемнять экран, отключать звук, совершать клики и свайпы, изменять буфер обмена, устанавливать APK-файлы, а также отключать защиту Play Protect и оптимизацию аккумулятора.

В случае, если приложение блокирует запись экрана, троян задействует режим «UI-tree mode». Он анализирует структуру интерфейса через Accessibility Services, преобразует информацию об элементах экрана в JSON-формат и отправляет оператору, который затем отдает команды. Примечательно, что сами IPTV-приложения не содержат вредоносного кода. Дроппер лишь открывает WebView со страницей реального IPTV-сервиса, создавая видимость нормальной работы, пока троян активен. Среди обнаруженных вредоносных приложений были замечены подделки с названиями IPTV24 и даже «Google Play». ThreatFabric полагает, что Massiv пока не распространяется в открытой продаже, однако признаки коммерциализации присутствуют, включая API-ключи для серверной части, что указывает на планы по масштабированию.