Pesquisadores em cibersegurança divulgaram detalhes sobre um novo trojan para Android chamado Massiv, desenvolvido para facilitar ataques de Device Takeover (DTO) com foco em roubo financeiro.
Segundo a empresa holandesa ThreatFabric, o malware se disfarça como aplicativos de IPTV, atraindo usuários interessados nesse tipo de serviço — o que indica uma estratégia direcionada a esse público.
De acordo com o relatório compartilhado com o The Hacker News, embora as campanhas envolvendo o Massiv ainda sejam limitadas e segmentadas, o risco para usuários de bancos móveis já é elevado.
O trojan permite que os operadores controlem remotamente os dispositivos infectados, realizando ataques de device takeover para efetuar transações fraudulentas diretamente nas contas bancárias das vítimas.
Assim como outras famílias de malware bancário para Android, o Massiv oferece diversas funcionalidades para o roubo de credenciais.
Entre os métodos utilizados estão o streaming da tela via MediaProjection API do Android, keylogging, interceptação de SMS e a exibição de sobreposições falsas (fake overlays) sobre apps financeiros para capturar dados como logins e informações de cartão de crédito.
Uma campanha identificada tem como alvo o aplicativo gov.pt, usado pela administração pública de Portugal para armazenar documentos de identificação e gerenciar a Chave Móvel Digital (CMD).
A sobreposição enganosa solicita o número de telefone e o PIN do usuário, provavelmente para burlar o processo Know Your Customer (KYC).
A ThreatFabric identificou casos em que criminosos usaram os dados coletados por essas sobreposições para abrir novas contas bancárias em nome das vítimas.
Essas contas são, então, usadas para lavagem de dinheiro ou obtenção de empréstimos sem o conhecimento dos titulares.
Além disso, o malware funciona como uma ferramenta completa de controle remoto, permitindo acesso furtivo ao dispositivo comprometido.
Para esconder as atividades maliciosas, ele exibe uma tela preta para o usuário.
Essas técnicas abusam dos serviços de acessibilidade do Android e já foram identificadas em outros malwares bancários, como Crocodilus, Datzbro e Klopatra.
Para contornar proteções que impedem capturas de tela, o Massiv utiliza um modo chamado UI-tree.
Ele percorre as estruturas AccessibilityWindowInfo e AccessibilityNodeInfo para montar uma representação JSON dos textos visíveis, descrições de conteúdo, elementos da interface, coordenadas na tela e informações sobre interações, como se o elemento é clicável ou editável.
Apenas os nós visíveis e com texto são enviados ao atacante, que determina as ações via comandos específicos para interagir com o dispositivo.
O malware oferece diversas funcionalidades maliciosas, incluindo:
- Ativar sobreposição preta, silenciar sons e vibrar
- Enviar informações do dispositivo
- Realizar ações de clique e swipe
- Alterar o conteúdo da área de transferência
- Desativar a tela preta
- Ligar e desligar o streaming de tela
- Desbloquear o dispositivo usando padrão de desbloqueio
- Exibir sobreposições para aplicativos, padrão de desbloqueio ou PIN
- Baixar arquivos ZIP contendo sobreposições para apps específicos
- Baixar e instalar arquivos APK
- Abrir configurações de Otimização de Bateria, Administração do dispositivo e Play Protect
- Solicitar permissões para acessar SMS e instalar pacotes APK
- Limpar bancos de dados de logs do dispositivo
O Massiv é distribuído por meio de aplicativos dropper que simulam apps de IPTV, enviados via phishing por SMS.
Quando executado, o dropper solicita que a vítima instale uma “atualização importante”, pedindo permissão para instalar apps de fontes externas.
Os artefatos maliciosos identificados incluem:
- IPTV24 (hfgx.mqfy.fejku) — Dropper
- Google Play (hobfjp.anrxf.cucm) — Massiv
Na maioria dos casos o dropper apenas se faz passar por aplicativo de IPTV, não contendo código malicioso.
Normalmente, ele abre uma WebView com um site de IPTV enquanto o malware já está instalado em segundo plano no dispositivo.
Nos últimos seis meses, campanhas que usam droppers relacionados a apps de TV atingiram principalmente usuários na Espanha, Portugal, França e Turquia.
O Massiv representa uma nova ameaça em um cenário de malware para Android já bastante saturado, refletindo a contínua demanda por soluções “prontas para uso” entre cibercriminosos.
Embora não tenha sido oferecido como Malware-as-a-Service (MaaS), o operador do Massiv demonstra claros indícios de buscar esse modelo, incluindo chaves de API para comunicação do malware com servidores de comando e controle.
A análise do código indica que o desenvolvimento está ativo, com possibilidade de novas funcionalidades a serem adicionadas em breve.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...