Нов „Massiv“ Android банкарски малвер се претставува како IPTV апликација

Нов Android банкарски малвер, кој истражувачите го нарекоа Massiv, се претставува како IPTV апликација со цел да краде дигитални идентитети и да добие пристап до онлајн банкарски сметки.

Малверот користи техники како screen overlay (преклопување на екранот) и keylogging (снимање на внес од тастатурата) за да прибере чувствителни податоци, а исто така може да преземе далечинска контрола врз компромитираниот уред.

Во кампања забележана од истражувачите од компанијата ThreatFabric, која се занимава со откривање измами и мобилна разузнавачка анализа на закани, Massiv таргетирал португалска владина апликација што се поврзува со системот Chave Móvel Digital — дигиталниот систем на Portugal за автентикација и електронски потпис.

Овие две услуги содржат кориснички податоци што можат да се искористат за заобиколување на процедурите за know-your-customer (KYC) верификација или за пристап до банкарски сметки и други јавни и приватни онлајн услуги.

„Истражувањето на MTI идентификува случаи каде што беа отворени нови сметки во името на жртвата (корисник на инфицираниот уред) во нови банки и услуги (кои жртвата претходно не ги користела),“ се вели во извештајот на ThreatFabric.

„Бидејќи тие сметки целосно се под контрола на измамниците, тие можат да ги користат како дел од шема за перење пари, како и за добивање кредити и подигање готовина, оставајќи ја несвесната жртва со долгови во банка каде што никогаш не отворала сметка.“

Малверот Massiv нуди два режима за далечинска контрола за своите оператори:

1. Режим на live-stream на екранот што користи Android MediaProjection API.
2. UI-tree режим кој извлекува структурирани податоци преку Accessibility Service.

Вториот режим вклучува видлив текст, имиња на елементи од интерфејсот, координати на екранот и атрибути за интеракција, овозможувајќи им на напаѓачите да кликнуваат на копчиња, да уредуваат полиња за текст и слично.

Овој втор режим е особено корисен за заобиколување на заштитите против снимање на екран, кои често се користат во банкарски, комуникациски и други апликации со чувствителна содржина.

Зголемено користење на IPTV апликации како мамки

Интересен тренд идентификуван од ThreatFabric преку откривањето на Massiv е зголемената употреба на IPTV апликации како мамки за инфекција со Android малвер, техника која бележи пораст во последните осум месеци.

Овие апликации обично играат клучна улога во повреда на авторски права, па затоа не можат да се најдат на Google Play поради кршење на правилата. За корисниците на овие апликации, преземањето на APK‑а од неофицијални извори е вообичаено, бидејќи тие се навикнати на sideloading.

Во повеќето случаи, IPTV апликацијата е лажна, не нуди пристап до пиратски преноси, а APK‑от служи како dropper што го инсталира малверот. Во некои случаи, апликацијата прикажува легитимна IPTV веб-страница во WebView за да ја одржи илузијата за вистинска апликација.

Истражувачите известуваат дека лажните IPTV‑dropper апликации кои маскираат малвер најчесто таргетирале корисници во Spain, Portugal, France и Turkey.

За корисниците на Android се препорачува:

• да преземаат апликации само од проверени и реномирани издавачи на официјални канали (Google Play),
• да го одржуваат Play Protect активен,
• редовно да скенираат го уредот со Play Protect за да се откријат можни закани.

Извори:

• Bleeping Computer – New ‘Massiv’ Android banking malware poses as an IPTV app Bleeping Computer