Компания ThreatFabric сообщила о новой угрозе для Android — трояне Massiv, который предназначен для полного контроля над устройством и последующего хищения средств. Вредоносное ПО распространяется через SMS со ссылкой на установку IPTV-плеера. После запуска приложение предлагает выполнить «обязательное обновление» и просит разрешить установку из непроверенных источников, вместе с которым и загружается троян.
По данным ThreatFabric, Massiv уже применялся в нескольких целевых атаках. Несмотря на ограниченное распространение, риск для пользователей мобильного банкинга высокий: злоумышленники получают полный доступ к смартфону и могут совершать финансовые операции от имени владельца.
Возможности трояна
Massiv умеет:
перехватывать SMS;
записывать нажатия клавиш;
передавать изображение экрана через MediaProjection API;
показывать поддельные окна для кражи данных;
открывать банковские счета от имени жертв;
затемнять экран, отключать звук, выполнять клики и свайпы;
устанавливать APK-файлы и отключать Play Protect.
ThreatFabric зафиксировала атаки на пользователей португальского госпортала gov.pt, где поддельное окно запрашивало номер телефона и PIN-код для обхода процедур идентификации.
Если приложение блокирует запись экрана, Massiv включает режим UI-tree: анализирует элементы интерфейса через Accessibility Services, формирует JSON-структуру и отправляет её оператору.
Сами IPTV-приложения вредоносного кода не содержат — дроппер открывает WebView с реальным сайтом, создавая видимость нормальной работы. Среди поддельных приложений встречались версии под названиями IPTV24 и даже «Google Play».
ThreatFabric предполагает, что Massiv пока не продаётся публично, однако признаки коммерциализации уже заметны — в частности, использование API-ключей для серверной части.