Новонаблюдавана заплаха в екосистемата Android показва тревожна еволюция на мобилния банков зловреден софтуер. Изследователи от компанията за мобилно разузнаване и превенция на измами ThreatFabric са идентифицирали нов зловреден код с име Massiv, който се маскира като IPTV приложение и цели кражба на дигитална идентичност и достъп до онлайн банкиране.
Маскировка като IPTV и атака срещу държавна дигитална идентичност
В рамките на активна кампания Massiv е насочен срещу португалско правителствено приложение, свързано със системата Chave Móvel Digital – националния механизъм за електронна идентификация и дигитален подпис на Португалия. Комбинацията от държавни и банкови услуги прави атаката особено рискова, тъй като компрометирането на подобна платформа позволява заобикаляне на KYC проверки и достъп до широк спектър от публични и частни услуги.
Как работи Massiv: овърлеи, кейлогинг и пълен отдалечен контрол
Massiv използва екранни овърлеи и кейлогинг, за да събира чувствителна информация, включително идентификационни данни и банкови креденшъли. Зловредният софтуер разполага с два режима за отдалечен контрол. Първият използва MediaProjection API за стрийминг на екрана в реално време, а вторият – т.нар. UI-tree режим – извлича структурирана информация чрез услугата за достъпност на Android.
Този втори режим е особено опасен, тъй като позволява на атакуващите да взаимодействат директно с интерфейса на приложенията – натискане на бутони, редактиране на полета и навигация – дори когато са активни защити срещу заснемане на екрана, типични за банкови и комуникационни приложения.
Финансови злоупотреби и пране на пари
Според анализа на ThreatFabric са регистрирани случаи, при които в името на жертвите са откривани нови банкови сметки, напълно контролирани от измамниците. Тези акаунти впоследствие се използват за теглене на кредити, пране на пари и финансови измами, като реалният потребител остава с дългове към банки, с които никога не е имал отношения.
IPTV като предпочитан вектор за заразяване
Изследването отчита ясно изразена тенденция – нарастваща употреба на IPTV приложения като примамка за зловредни APK файлове, особено през последните осем месеца. Тъй като подобни приложения често нарушават авторски права, те не присъстват в Google Play, а потребителите са свикнали да ги инсталират от неофициални източници. В повечето случаи IPTV приложението е фалшиво и служи единствено като дропър за зловредния код.
Най-засегнати от тази техника са потребители в Испания, Португалия, Франция и Турция.
Препоръки за защита
Инсталирането на приложения само от официални канали, поддържането на Play Protect активен и редовното сканиране на устройствата остават ключови мерки за защита срещу подобни заплахи.
