СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
Вчера в 16:23
#ИБ

Россиян предупредили о новом Android-трояне Massiv, маскирующемся под IPTV и крадущим деньги

Россиян предупредили о новом Android-трояне Massiv, маскирующемся под IPTV и крадущим деньги

Изображение: Glenn Carstens-Peters (unsplash)

Исследователи ThreatFabric обнаружили нового Android-трояна под названием Massiv, который получает полный контроль над смартфоном жертвы и проводит финансовые операции от её имени. Зловред распространяется под видом IPTV-приложений и уже замечен в нескольких целенаправленных кампаниях.

Схема заражения намеренно проста. Жертва получает СМС с предложением установить приложение для онлайн-телевидения. После запуска «плеер» просит разрешить установку из сторонних источников под предлогом «важного обновления» — и именно в этот момент на устройство попадает троян.

При этом настоящий IPTV-контент никуда не девается — дроппер открывает WebView с реальным сайтом онлайн-телевидения, создавая полную иллюзию работающего сервиса. Пользователь смотрит каналы и не подозревает, что параллельно его смартфон уже работает на чужих.

Функциональность Massiv впечатляет. Троян перехватывает СМС, записывает нажатия клавиш, транслирует экран через MediaProjection API, накладывает поддельные окна поверх банковских приложений и собирает логины, пароли и данные карт. Как инструмент удалённого управления, он умеет выводить чёрный экран поверх интерфейса, отключать звук и вибрацию, выполнять клики и свайпы, подменять содержимое буфера обмена, скачивать и устанавливать APK-файлы, а также лезть в настройки Play Protect и оптимизации аккумулятора — чтобы отключить защиту.

Отдельного внимания заслуживает режим работы с приложениями, защищёнными от записи экрана. В таких случаях Massiv переключается на анализ интерфейса через Accessibility Services — сканирует структуру экрана, формирует JSON-описание всех элементов с координатами и текстом, передаёт эту карту оператору, который затем дистанционно управляет устройством через команды. Фактически это полноценный обход экранной защиты без какой-либо записи изображения.

Среди артефактов, обнаруженных в ходе анализа, встречаются приложения с названиями IPTV24 и даже «Google Play» — последнее говорит о том, что авторы не особо заморачиваются с маскировкой, рассчитывая на невнимательность пользователей. Massiv пока не выставлен на продажу на теневых площадках, однако в коде уже присутствуют API-ключи для взаимодействия с серверной инфраструктурой — что ThreatFabric расценивает как признаки подготовки к коммерциализации и масштабированию.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: