Der neu entdeckte Android-Banking-Trojaner „Massiv“ zeigt, wie professionell Cyberkriminelle inzwischen vorgehen, um Mobile-Banking-Nutzer zu kompromittieren. Die Schadsoftware tarnt sich als populäre IPTV-App und verschafft Angreifern nahezu vollständige Kontrolle über das Smartphone, inklusive Zugriff auf Online-Banking, Identitätsdaten und SMS-TAN.
Infektionsweg: Smishing und manipulierte IPTV-Apps
Die Verbreitung von Massiv basiert auf SMS-Phishing (Smishing). Betroffene erhalten Nachrichten mit einem Link zu angeblich legitimen IPTV-Anwendungen wie „IPTV24“, häufig mit Verweis auf exklusive Inhalte oder ein wichtiges Update. Statt in den offiziellen Google-Play-Store führt der Link jedoch zu einem APK-Download aus inoffizieller Quelle.
Nach der Installation verhält sich der Dropper zunächst wie eine normale IPTV-App, fordert den Nutzer jedoch unmittelbar auf, ein „kritisches Update“ zu installieren und dafür die Installation aus unbekannten Quellen (Sideloading) zu aktivieren. An diesem Punkt wird der eigentliche Banking-Trojaner außerhalb der Sicherheitsmechanismen von Google Play nachgeladen und im Hintergrund eingerichtet.
Die legitimen IPTV-Dienste selbst werden dabei nicht kompromittiert. Stattdessen öffnet der Dropper in einem WebView die echte Website des IPTV-Anbieters und erzeugt so den Eindruck einer vertrauenswürdigen App, während im Hintergrund bereits die Verbindung zur Command-and-Control-Infrastruktur (C2) aufgebaut wird.
Funktionen: Banking-Malware und Remote-Access-Trojaner in einem
Diebstahl von Online-Banking-Daten und Umgehung von 2FA
Massiv vereint die typischen Funktionen moderner Android-Banking-Trojaner mit erweiterten Spionagefähigkeiten. Über das MediaProjection-API kann der Trojaner den Bildschirm des Opfers in Echtzeit aufzeichnen und streamen. So sehen Angreifer jede Eingabe im Online-Banking, einschließlich Logins und Freigaben von Transaktionen.
Zusätzlich implementiert Massiv Keylogging und SMS-Abgriff. Dadurch lassen sich Einmalpasswörter (OTP), SMS-TAN und sicherheitsrelevante Benachrichtigungen abfangen. Ergänzt wird dies durch Overlay-Angriffe: Öffnet das Opfer eine Banking- oder Finanz-App, legt Massiv ein täuschend echtes, gefälschtes Eingabefenster darüber und fragt Login-Daten, Kreditkartendaten oder PINs ab – eine Technik, die bereits von Familien wie Anatsa oder Xenomorph erfolgreich eingesetzt wird.
Angriffe auf eGovernment und KYC-Prozesse
ThreatFabric dokumentierte zudem Kampagnen, die sich gezielt gegen das portugiesische eGovernment-Portal gov.pt richten. In diesen Fällen sammelt der Trojaner über Overlays Telefonnummern und PIN-Codes, um Identifizierungs- und KYC-Prozesse (Know Your Customer) zu umgehen und Zugang zu staatlichen oder finanznahen Diensten zu erhalten.
In der Praxis wurden gestohlene Identitäts- und Bankdaten genutzt, um Konten im Namen der Opfer zu eröffnen. Solche Konten dienen typischerweise der Geldwäsche, Aufnahme von Mikrokrediten oder Weiterleitung gestohlener Gelder und können für Betroffene langfristige Probleme im Umgang mit Banken und Aufsichtsbehörden verursachen.
Missbrauch von Accessibility Services und UI-Tree-Mode
Neben der Rolle als Banking-Trojaner agiert Massiv als vollwertiger Remote-Access-Trojaner (RAT). Angreifer können das Gerät fernsteuern, während der Nutzer lediglich einen schwarzen Bildschirm sieht. Diese Verschleierung soll verhindern, dass verdächtige Aktivitäten in Banking-Apps oder Wallets auffallen.
Technisch stützt sich Massiv dabei auf den Missbrauch der Android Accessibility Services. Der Trojaner liest UI-Elemente aus, simuliert Klicks und Tastatureingaben und nutzt einen sogenannten UI-Tree-Mode. Dabei wird die Struktur der AccessibilityWindowInfo-Objekte in ein JSON-Modell aller sichtbaren Elemente überführt und an die Angreifer übermittelt. Auf diese Weise lassen sich selbst Bildschirmaufnahmeschutzmechanismen vieler Banking- und System-Apps umgehen.
Geografische Verbreitung und Entwicklung Richtung Malware-as-a-Service
Die ersten zielgerichteten Kampagnen mit Massiv wurden gegen Nutzer in Portugal und Griechenland registriert. Code-Analysen legen nahe, dass frühe Varianten bereits Anfang 2025 entstanden sind, was auf eine längere Test- und Entwicklungsphase hindeutet. Da Infrastruktur und Funktionsumfang aktiv weiterentwickelt werden, ist mit einer Ausweitung der Angriffe auf weitere Länder zu rechnen.
Branchenberichte zu Mobile-Security zeigen seit Jahren, dass Android-Banking-Trojaner zu den profitabelsten Malware-Kategorien im Cybercrime-Ökosystem gehören. Massiv folgt diesem Trend: Die Architektur sieht bereits API-Schlüssel für den Backend-Zugriff vor, was eine einfache Skalierung und die parallele Steuerung mehrerer Betreiber ermöglicht – ein typisches Indiz für eine mögliche spätere Vermarktung als Malware-as-a-Service (MaaS) in Untergrundforen.
Empfohlene Schutzmaßnahmen für Android-Nutzer und Unternehmen
Angesichts der Fähigkeiten von Massiv sollten Android-Nutzer grundlegende Mobile-Security-Hygiene konsequent umsetzen. Dazu gehört insbesondere, keine Apps über Links in SMS oder Messenger zu installieren, die Installation aus unbekannten Quellen zu deaktivieren und System sowie Banking-Apps regelmäßig zu aktualisieren. Zugriffsrechte, vor allem auf SMS und Accessibility Services, sollten kritisch geprüft und nur vertrauenswürdigen Anwendungen gewährt werden. Ergänzend empfiehlt sich der Einsatz seriöser Mobile-Security-Lösungen.
Unternehmen und Finanzinstitute sollten verstärkt auf Anomalieerkennung bei Transaktionen, robuste Multi-Faktor-Authentifizierung und ein systematisches Security-Awareness-Training ihrer Kunden und Mitarbeitenden setzen. Besonders wirksam sind praxisnahe Schulungen zum Erkennen von Smishing-Nachrichten, gefälschten Overlays und Social-Engineering-Techniken.
Massiv verdeutlicht, wie eng sich Banking-Malware, Remote-Access-Trojaner und Identitätsdiebstahl inzwischen verzahnen. Wer Mobile Banking nutzt, sollte Sicherheitswarnungen ernst nehmen, seine Geräte-Hygiene überprüfen und verdächtige SMS-Links, ungewöhnliche App-Berechtigungen oder unerwartete „Updates“ niemals ignorieren. Eine Kombination aus technischer Absicherung, aufgeklärten Nutzern und kontinuierlicher Überwachung ist entscheidend, um Trojaner wie Massiv frühzeitig zu erkennen und deren Schaden zu begrenzen.
