«Эта новая угроза, хотя и наблюдалась лишь в небольшом количестве целенаправленных кампаний, уже представляет серьезную опасность для пользователей мобильного банкинга, позволяя операторам удаленно контролировать зараженные устройства и проводить атаки захвата устройств с последующим выполнением мошеннических транзакций из банковских счетов жертв», — говорится в отчёте голландской компании мобильной безопасности, опубликованном совместно с изданием The Hacker News.
Подобно другим семействам банковского вредоносного ПО для Android, Massiv включает широкий спектр методов похищения учетных данных: потоковая передача экрана через API MediaProjection Android, кейлоггинг, перехват СМС и фальшивые наложения поверх приложений банков и финансов. Фальшивая панель запрашивает у пользователей ввод паролей и деталей кредитных карт.
Одна из атак была направлена против портала госуслуг Португалии gov.pt, который позволяет хранить идентификационные документы и управлять цифровой мобильной картой (Chave Móvel Digital или CMD). Этот оверлей заставляет пользователей вводить номер телефона и PIN-код, вероятно, пытаясь обойти проверку подлинности клиента (Know Your Customer, KYC).
ThreatFabric обнаружила случаи, когда злоумышленники использовали украденную информацию для открытия новых банковских счетов на имена жертв, что позволило использовать их для отмывания денег или одобрения кредитов без ведома самих пострадавших.
Кроме того, Massiv действует как полноценное средство дистанционного контроля, предоставляя оператору скрытный доступ к устройству жертвы, показывая черный экран-переходник, чтобы скрыть преступную активность. Эти методы реализуются путем злоупотребления службами доступности Android и ранее были отмечены в других банковских Android-вирусах, таких как Crocodilus, Datzbro и Klopatra.
Однако некоторые приложения защищают себя от захвата экрана. Чтобы обойти защиту, Massiv применяет так называемый режим дерева UI — обрабатывает корни объектов AccessibilityWindowInfo и рекурсивно обрабатывает объекты AccessibilityNodeInfo.
Это делается для построения представления видимых элементов экрана в формате JSON, содержащего текстовые элементы, координаты и метки взаимодействия, определяющие, кликабельны ли элементы, редактированы или выделены. Только видимые узлы с текстом экспортируются злоумышленнику, который затем решает дальнейшие шаги, отправляя команды для взаимодействия с устройством.
Масштаб угрозы заключается в разнообразии злонамеренных действий, доступных Massiv:
- Включает чёрный экран, отключает звук и вибрацию.
- Отправляет информацию о устройстве.
- Выполняет щелчки и свайпы.
- Меняет содержимое буфера обмена.
- Отключает чёрный экран.
- Управляет потоковым воспроизведением экрана.
- Открывает заблокированное устройство паттерном.
- Показывает наложения для приложений, блокировки устройства или ввода PIN-кода.
- Загружает архивы ZIP с накладывающимися панелями для целевых приложений.
- Скачивает и устанавливает APK-файлы.
- Открывает экраны настроек батареи, администратора устройства и защиты Play Protect.
- Просит разрешения на доступ к сообщениям SMS и установке пакетов APK.
- Очищает базы данных журналов на устройстве.
Распространение Massiv осуществляется через приложения-дроперы, имитирующие сервисы IPTV, используя метод рассылки спама по SMS. Установившись и запустившись, дропер просит жертву разрешить установку важного обновления, предоставив разрешение на установку программного обеспечения извне. Названия вредоносных артефактов приведены ниже:
- IPTV24 (hfgx.mqfy.fejku) — Дропер
- Google Play (hobfjp.anrxf.cucm) — Massiv
Обычно сами приложения IPTV не содержат вредоносного кода изначально. Чаще всего дропер открывает веб-интерфейс реального сайта IPTV, пока сам вирус уже запущен и функционирует.
Основная цель большинства кампаний с использованием IPTV-дроперов — это пользователи Испании, Португалии, Франции и Турции за последние полгода.
Massiv становится новым участником обширного ландшафта угроз для Android, отражая растущую потребность среди киберпреступников в готовых инструментах.
«Хотя пока Massiv не представлен как услуга типа „Malware-as-a-Service“, операторы вируса демонстрируют признаки движения именно в этом направлении, внедряя API-ключи для связи с сервером», — поясняет ThreatFabric. «Анализ исходного кода показывает непрерывное развитие, что свидетельствует о возможном расширении функционала в будущем.
