Дослідники ThreatFabric зафіксували появу нового Android-банківського трояна Massiv, орієнтованого на користувачів мобільного банкінгу та державних онлайн-сервісів. Шкідливе ПЗ маскується під популярні IPTV-додатки, поєднує функціональність банківського трояна та Remote Access Trojan (RAT) і надає зловмисникам майже повний контроль над пристроєм жертви. Кінцева мета — крадіжка облікових даних, перехоплення фінансових операцій і подальше шахрайство.
Схема атаки Massiv: SMS-фішинг, підроблені IPTV та sideloading
Поширення Massiv побудоване на класичній для мобільних загроз техніці SMS-фішингу (smishing). Користувач отримує повідомлення з посиланням на «офіційний» IPTV-сервіс (наприклад, умовний «IPTV24») із обіцянкою доступу до каналів чи «критичного оновлення». Перехід за посиланням веде не в Google Play, а на сторонню сторінку завантаження APK-файла, що вже саме по собі є ключовим індикатором ризику.
Після інсталяції дропер поводиться як звичайний IPTV-додаток, але майже відразу показує вимогу встановити «важливе оновлення» й просить дозволити установку програм з невідомих джерел (sideloading). Надання такого доступу фактично відкриває для зловмисників обхід захисту Google Play та стандартних механізмів перевірки, дозволяючи непомітно розгорнути повноцінний троянський модуль.
Легітимні IPTV-сервіси при цьому не зламуються: дропер просто завантажує їхній справжній веб-сайт у WebView, створюючи враження коректної роботи. Поки користувач переглядає канали, Massiv у фоні налаштовує зв’язок з командно-контрольним (C2) сервером, реєструє пристрій і готує інфраструктуру для подальшого дистанційного керування.
Функціональність Massiv: комплексний банківський троян і повноцінний RAT
Захоплення екрана, перехоплення SMS та фальшиві оверлеї
Massiv реалізує типовий для банківських троянів нового покоління для Android набір можливостей, але в поєднанні зі складною RAT-компонентою. Зокрема, шкідливе ПЗ використовує MediaProjection API для захоплення та трансляції екрана в реальному часі. Це дає операторам змогу спостерігати за всіма діями жертви: від авторизації в мобільному банку до підтвердження платежів.
Додатково троян підтримує кейлоггінг і перехоплення SMS, включно з одноразовими кодами (OTP) та банківськими сповіщеннями. Введені паролі, PIN-коди, коди підтвердження та зміст повідомлень передаються на сервер зловмисників. Це дозволяє обходити однофакторні та частину двофакторних механізмів автентифікації, що й досі широко застосовуються банками, особливо в регіонах із домінуванням SMS-верифікації.
Ключовою технікою Massiv залишаються фальшиві оверлеї поверх банківських і фінансових застосунків. Коли користувач відкриває цільовий додаток, троян відображає підроблений екран, максимально схожий за дизайном на оригінальний. Жертву просять ввести логін, пароль, CVV-код або інші платіжні реквізити. Подібна тактика давно відома за сімействами Anatsa, Xenomorph та іншими Android-банкерами і, попри роки протидії, залишається однією з найрезультативніших технік викрадення облікових даних.
Атаки на держсервіси та обхід KYC-процедур
Окрему увагу дослідники звертають на таргетинг португальського державного застосунку gov.pt. У цьому сценарії Massiv за допомогою оверлею вимагав номер телефону й PIN-код доступу до сервісу. Такі дані можуть бути використані для обходу процедур KYC (Know Your Customer), що застосовуються під час ідентифікації громадян у держпослугах і пов’язаних фінансових операціях.
Зареєстровано випадки, коли викрадені персональні та банківські дані застосовувалися для відкриття рахунків на ім’я жертв. Подібні «транзитні» рахунки можуть використовуватися для відмивання коштів, оформлення мікрокредитів або переказу раніше викрадених грошей. Для власників таких рахунків це означає складні процедури з банками й регуляторами та суттєві репутаційні й фінансові ризики.
Дистанційний доступ через Accessibility Services та обхід антискрин-захисту
Поза банківськими функціями Massiv працює як повноцінний RAT для Android. Оператори можуть віддалено керувати пристроєм, при цьому на екрані жертви відображається чорний екран, що маскує активність зловмисника під «зависання» чи тимчасову помилку. У фоновому режимі в цей час виконуються операції в банківських застосунках, гаманцях або сервісах держпослуг.
Ця функціональність реалізована за рахунок зловживання Android Accessibility Services — системою, що первинно створена для підтримки людей з порушеннями зору чи моторики. Massiv перехоплює події інтерфейсу, емулює натискання, вводить текст і використовує так званий UI-tree mode: троян обходить дерево AccessibilityWindowInfo, будує JSON-подання всіх видимих елементів екрану й надсилає його на C2-сервер. Такий підхід дозволяє обходити заборону скриншотів і запису екрана, яку багато банківських і системних застосунків застосовують як додатковий захист.
Географія атак, економічна мотивація та ознаки майбутнього Malware-as-a-Service
Перші цілеспрямовані кампанії з використанням Massiv були виявлені проти користувачів у Португалії та Греції. Водночас окремі зразки шкідливого ПЗ датуються початком 2025 року, що вказує на тривалу фазу закритого тестування та еволюції коду. З огляду на активну підтримку інфраструктури C2 та безперервні доопрацювання, експерти прогнозують розширення географії атак на інші європейські ринки та регіони з високою популярністю мобільного банкінгу.
Відповідно до профільних звітів з мобільної безпеки, Android-банківські трояни залишаються однією з найприбутковіших категорій малварі. Масштабуємі, автоматизовані атаки на мобільні фінансові сервіси дозволяють кіберзлочинцям отримувати стабільний дохід за відносно невеликих витрат. У випадку Massiv додатковий ризик створює те, що архітектура вже передбачає роботу з API-ключами для бекенду, тобто технічно готова до розгортання за моделлю Malware-as-a-Service (MaaS), коли готовий троян здається в оренду іншим злочинним групам.
Аналіз коду свідчить, що проєкт перебуває у фазі активної розробки: додаються нові модулі, удосконалюються механізми приховування, підвищується стійкість до видалення, розширюється список цільових банківських, фінансових та державних додатків. Така динаміка типова для сімейств, які готують до комерціалізації на підпільних майданчиках, де набір «Android банківський троян + панель керування + фішингові шаблони» продається як готовий сервіс.
На тлі появи Massiv користувачам Android доцільно посилити базову цифрову гігієну: ніколи не встановлювати додатки за посиланнями з SMS та месенджерів, тримати вимкненою установку з невідомих джерел, регулярно оновлювати ОС і банківські застосунки, уважно перевіряти запитувані дозволи (особливо доступ до SMS та Accessibility Services), а також використовувати рішення для мобільного захисту з поведінковим аналізом. Організаціям, що працюють з мобільними клієнтами, варто інвестувати в моніторинг шахрайських транзакцій, багатофакторну автентифікацію, контроль аномальної поведінки сесій та системне навчання користувачів розпізнаванню SMS-фішингу і фальшивих оверлеїв. Саме поєднання технічних засобів захисту та обізнаності користувачів залишається найефективнішою відповіддю на нове покоління Android-банківських троянів.
