Исследователи ThreatFabric обнаружили нового Android-трояна под названием Massiv, который получает полный контроль над смартфоном жертвы и проводит финансовые операции от её имени. Зловред распространяется под видом IPTV-приложений и уже замечен в нескольких целенаправленных кампаниях.
Схема заражения намеренно проста. Жертва получает СМС с предложением установить приложение для онлайн-телевидения. После запуска «плеер» просит разрешить установку из сторонних источников под предлогом «важного обновления» — и именно в этот момент на устройство попадает троян.
При этом настоящий IPTV-контент никуда не девается — дроппер открывает WebView с реальным сайтом онлайн-телевидения, создавая полную иллюзию работающего сервиса. Пользователь смотрит каналы и не подозревает, что параллельно его смартфон уже работает на чужих.
Функциональность Massiv впечатляет. Троян перехватывает СМС, записывает нажатия клавиш, транслирует экран через MediaProjection API, накладывает поддельные окна поверх банковских приложений и собирает логины, пароли и данные карт. Как инструмент удалённого управления, он умеет выводить чёрный экран поверх интерфейса, отключать звук и вибрацию, выполнять клики и свайпы, подменять содержимое буфера обмена, скачивать и устанавливать APK-файлы, а также лезть в настройки Play Protect и оптимизации аккумулятора — чтобы отключить защиту.
Отдельного внимания заслуживает режим работы с приложениями, защищёнными от записи экрана. В таких случаях Massiv переключается на анализ интерфейса через Accessibility Services — сканирует структуру экрана, формирует JSON-описание всех элементов с координатами и текстом, передаёт эту карту оператору, который затем дистанционно управляет устройством через команды. Фактически это полноценный обход экранной защиты без какой-либо записи изображения.
Среди артефактов, обнаруженных в ходе анализа, встречаются приложения с названиями IPTV24 и даже «Google Play» — последнее говорит о том, что авторы не особо заморачиваются с маскировкой, рассчитывая на невнимательность пользователей. Massiv пока не выставлен на продажу на теневых площадках, однако в коде уже присутствуют API-ключи для взаимодействия с серверной инфраструктурой — что ThreatFabric расценивает как признаки подготовки к коммерциализации и масштабированию.
Оригинал публикации на сайте CISOCLUB: "Россиян предупредили о новом Android-трояне Massiv, маскирующемся под IPTV и крадущим деньги".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.