Голландская компания ThreatFabric, специализирующаяся на мобильной безопасности, обнаружила новую угрозу для операционной системы Android — банковский троян под названием Massiv. Об этом вредоносном ПО сообщило профильное издание The Hacker News. Главной задачей зловреда является хищение финансовых средств посредством полного захвата устройства (Device Takeover или DTO). Программа маскируется под безобидные приложения для просмотра IPTV, чтобы ввести пользователей в заблуждение и проникнуть в систему.
Первые образцы Massiv были замечены в рамках небольших тестовых кампаний в начале 2025 года, а первая масштабная волна атак зафиксирована ранее в этом году. Основными целями злоумышленников на данный момент стали пользователи в Португалии и Греции. Однако общий контекст угрозы шире: за последние шесть месяцев кампании по распространению дропперов, имитирующих телевизионные приложения, наблюдались также в Испании, Франции и Турции.
Первоначальным вектором проникновения вируса служит SMS-фишинг. Вредоносное ПО распространяется через программы-«дропперы», которые после запуска требуют установить якобы важное обновление. Приложение запрашивает разрешение на инсталляцию софта из внешних источников. Для обмана жертвы дроппер открывает WebView с интерфейсом легитимного сайта IPTV, в то время как в фоновом режиме происходит установка и запуск основного вредоносного компонента.
Технический арсенал Massiv включает кражу учетных данных, кейлоггинг, перехват SMS-сообщений и использование фальшивых наложений (оверлеев) поверх банковских приложений. Для реализации продвинутых функций захвата устройства (DTO) троян задействует API MediaProjection для трансляции экрана и службы специальных возможностей (Accessibility Services) для удаленного управления. Операторы могут активировать черный оверлей, скрывая свои действия на экране, пока они взаимодействуют с устройством жертвы.
Для обхода защиты от захвата экрана разработчики Massiv внедрили технику под названием «режим дерева пользовательского интерфейса» (UI-tree mode). Программа проходит через корни
Список команд, доступных операторам трояна, обширен и обеспечивает полный контроль над смартфоном. Massiv способен включать и отключать черный экран, глушить звук и вибрацию, выполнять клики и свайпы, а также подменять содержимое буфера обмена. Вредонос может разблокировать устройство графическим ключом, загружать ZIP-архивы с оверлеями и устанавливать дополнительные APK-файлы. Для закрепления в системе троян принудительно открывает настройки оптимизации батареи, администрирования устройства и Play Protect, запрашивая необходимые разрешения, а также имеет функцию очистки баз данных логов.
Особую угрозу Massiv представляет для пользователей португальского государственного приложения , в котором хранятся идентификационные документы и управляется Цифровой мобильный ключ (Chave Móvel Digital или CMD). Атакующие используют оверлей, чтобы обманом заставить жертву ввести номер телефона и PIN-код. Полученные данные позволяют злоумышленникам обходить процедуру верификации «Знай своего клиента» (KYC), открывать новые банковские счета на имя жертвы для отмывания денег и оформлять кредиты без ведома владельца.
Эксперты выделили конкретные индикаторы компрометации для идентификации угрозы. Приложение-дроппер распространяется под именем IPTV24 и имеет имя пакета
Анализ кода показал, что Massiv использует методы, схожие с семействами вредоносных программ Crocodilus, Datzbro и Klopatra, в частности, злоупотребление службами доступности. На данный момент троян не продвигается по модели «Вредоносное ПО как услуга» (MaaS), однако внедрение API-ключей для взаимодействия с сервером управления указывает на планы операторов перейти к этой бизнес-модели в будущем. Разработка вируса продолжается, и вероятно появление новых функций.
Изображение носит иллюстративный характер
Первые образцы Massiv были замечены в рамках небольших тестовых кампаний в начале 2025 года, а первая масштабная волна атак зафиксирована ранее в этом году. Основными целями злоумышленников на данный момент стали пользователи в Португалии и Греции. Однако общий контекст угрозы шире: за последние шесть месяцев кампании по распространению дропперов, имитирующих телевизионные приложения, наблюдались также в Испании, Франции и Турции.
Первоначальным вектором проникновения вируса служит SMS-фишинг. Вредоносное ПО распространяется через программы-«дропперы», которые после запуска требуют установить якобы важное обновление. Приложение запрашивает разрешение на инсталляцию софта из внешних источников. Для обмана жертвы дроппер открывает WebView с интерфейсом легитимного сайта IPTV, в то время как в фоновом режиме происходит установка и запуск основного вредоносного компонента.
Технический арсенал Massiv включает кражу учетных данных, кейлоггинг, перехват SMS-сообщений и использование фальшивых наложений (оверлеев) поверх банковских приложений. Для реализации продвинутых функций захвата устройства (DTO) троян задействует API MediaProjection для трансляции экрана и службы специальных возможностей (Accessibility Services) для удаленного управления. Операторы могут активировать черный оверлей, скрывая свои действия на экране, пока они взаимодействуют с устройством жертвы.
Для обхода защиты от захвата экрана разработчики Massiv внедрили технику под названием «режим дерева пользовательского интерфейса» (UI-tree mode). Программа проходит через корни
AccessibilityWindowInfo и рекурсивно обрабатывает объекты AccessibilityNodeInfo. На выходе формируется JSON-структура, содержащая видимый текст, описания контента, координаты элементов экрана и флаги взаимодействия (кликабельность, возможность редактирования). Это позволяет атакующим получать информацию о происходящем на экране, даже если прямая трансляция заблокирована защитными механизмами. Список команд, доступных операторам трояна, обширен и обеспечивает полный контроль над смартфоном. Massiv способен включать и отключать черный экран, глушить звук и вибрацию, выполнять клики и свайпы, а также подменять содержимое буфера обмена. Вредонос может разблокировать устройство графическим ключом, загружать ZIP-архивы с оверлеями и устанавливать дополнительные APK-файлы. Для закрепления в системе троян принудительно открывает настройки оптимизации батареи, администрирования устройства и Play Protect, запрашивая необходимые разрешения, а также имеет функцию очистки баз данных логов.
Особую угрозу Massiv представляет для пользователей португальского государственного приложения , в котором хранятся идентификационные документы и управляется Цифровой мобильный ключ (Chave Móvel Digital или CMD). Атакующие используют оверлей, чтобы обманом заставить жертву ввести номер телефона и PIN-код. Полученные данные позволяют злоумышленникам обходить процедуру верификации «Знай своего клиента» (KYC), открывать новые банковские счета на имя жертвы для отмывания денег и оформлять кредиты без ведома владельца.
Эксперты выделили конкретные индикаторы компрометации для идентификации угрозы. Приложение-дроппер распространяется под именем IPTV24 и имеет имя пакета
hfgx.mqfy.fejku. Основная полезная нагрузка маскируется под системное приложение с именем Google Play и использует пакет hobfjp.anrxf.cucm. Эти технические данные позволяют системам безопасности обнаруживать заражение на ранних этапах. Анализ кода показал, что Massiv использует методы, схожие с семействами вредоносных программ Crocodilus, Datzbro и Klopatra, в частности, злоупотребление службами доступности. На данный момент троян не продвигается по модели «Вредоносное ПО как услуга» (MaaS), однако внедрение API-ключей для взаимодействия с сервером управления указывает на планы операторов перейти к этой бизнес-модели в будущем. Разработка вируса продолжается, и вероятно появление новых функций.
