Un nuevo troyano bancario para Android, identificado como Massiv, ha sido analizado por los investigadores de ThreatFabric. Este malware se disfraza de aplicaciones IPTV aparentemente legítimas y permite a los atacantes tomar un control casi completo del dispositivo, con el objetivo principal de robar credenciales de banca online y realizar fraude financiero.
Cadena de ataque: SMS phishing y distribución a través de IPTV falsas
Las campañas de Massiv se basan en SMS phishing (smishing). La víctima recibe un mensaje con un enlace a una supuesta app IPTV —por ejemplo, “IPTV24”— que promete acceso a canales premium o un “actualización crítica”. En lugar de dirigir a Google Play, el enlace apunta a una página de descarga de un archivo APK alojado fuera de las tiendas oficiales.
Tras la instalación, el primer componente actúa como un dropper: se ejecuta como si fuera una app IPTV normal, pero solicita de inmediato instalar un “update crítico”, pidiendo permitir la instalación desde orígenes desconocidos (sideloading). Esta acción desactiva una capa clave de protección de Android y abre la puerta a la instalación silenciosa del módulo malicioso principal, fuera de los controles de Google Play Protect.
Para reforzar la sensación de legitimidad, el dropper carga en una WebView el sitio real del proveedor IPTV. El usuario ve contenido legítimo y cree que todo funciona correctamente, mientras en segundo plano Massiv se comunica con su servidor de mando y control (C2) y despliega todas sus capacidades de troyano bancario y RAT (Remote Access Trojan).
Capacidades de Massiv: espionaje bancario y control remoto avanzado
Robo de credenciales, captura de pantalla y SMS
Massiv integra el conjunto típico de funciones de los troyanos bancarios Android de nueva generación. Emplea la MediaProjection API para capturar y transmitir en tiempo real la pantalla del dispositivo, permitiendo a los operadores observar cada paso del usuario: desde el inicio de sesión hasta la confirmación de transferencias.
El malware también implementa registrador de teclas (keylogger) y captura de SMS. De este modo, puede interceptar contraseñas, PIN, códigos de un solo uso (OTP) y notificaciones bancarias. Esta información se envía al servidor de los atacantes, facilitando el acceso no autorizado a cuentas y el bypass de mecanismos de autenticación basados en SMS, aún muy extendidos en muchos países.
Una técnica clave son los overlays falsos sobre apps bancarias y financieras. Cuando el usuario abre una aplicación objetivo, Massiv superpone una pantalla falsa, visualmente casi idéntica a la original, que solicita credenciales o datos de tarjeta. Este enfoque, visto previamente en familias como Anatsa o Xenomorph, sigue siendo uno de los métodos más eficaces para la recolección de credenciales de banca móvil.
Ataques a servicios gubernamentales y abuso de KYC
Los investigadores destacan una campaña dirigida al servicio gubernamental portugués gov.pt. En este escenario, el overlay malicioso pedía número de teléfono y PIN del usuario, datos que pueden utilizarse para eludir procesos de verificación de identidad (KYC) en servicios públicos y operaciones financieras asociadas.
Se han documentado casos en los que los datos personales y bancarios robados se emplean para abrir cuentas bancarias a nombre de las víctimas. Estas cuentas pueden actuar como mulas para blanqueo de capitales, contratación de microcréditos o canalización de fondos robados, complicando significativamente la resolución del fraude con bancos y reguladores.
RAT Android mediante Accessibility Services y pantalla en negro
Además de la parte bancaria, Massiv funciona como un RAT Android de pleno derecho. El operador puede controlar el dispositivo de forma remota mientras la víctima solo ve una pantalla en negro, lo que oculta la actividad real mientras se realizan operaciones en apps bancarias o monederos digitales.
Esta capacidad se apoya en el abuso de los Accessibility Services de Android, diseñados originalmente para mejorar la accesibilidad. Massiv intercepta eventos de interfaz, toques y campos de entrada, y utiliza un modo de UI-tree que recorre la estructura de AccessibilityWindowInfo, genera una representación JSON de todos los elementos visibles y la envía al atacante. Así, puede sortear protecciones anti-captura de pantalla presentes en muchas apps bancarias y del sistema.
Geografía de las campañas y tendencia hacia el modelo Malware-as-a-Service
Las primeras campañas dirigidas con Massiv se han observado en Portugal y Grecia, con muestras que datan de inicios de 2025, lo que indica una fase prolongada de desarrollo y prueba encubierta. Los informes de distintas firmas de seguridad móvil coinciden en que los troyanos bancarios Android se mantienen entre las familias de malware más rentables, por lo que es previsible que la actividad de Massiv se expanda a otros países.
Por el momento, Massiv no se ofrece públicamente bajo el modelo Malware-as-a-Service (MaaS), en el que los desarrolladores alquilan la infraestructura a otros grupos criminales. Sin embargo, la implementación de claves de API para comunicarse con el backend y el ritmo de desarrollo —nuevos módulos, mecanismos de persistencia mejorados y ampliación continua de aplicaciones objetivo— son indicios típicos de un proyecto preparado para ser comercializado en foros clandestinos.
Recomendaciones de seguridad para usuarios y organizaciones
Para reducir el riesgo frente a Massiv y otros troyanos bancarios Android, se recomienda a los usuarios no instalar aplicaciones desde enlaces recibidos por SMS o mensajería, mantener desactivada la instalación desde orígenes desconocidos, actualizar regularmente el sistema y las apps, revisar con atención los permisos solicitados (especialmente acceso a SMS y Servicios de accesibilidad) y utilizar soluciones de seguridad móvil de confianza.
Las organizaciones financieras y de servicios digitales deberían reforzar el monitoreo de transacciones sospechosas, adoptar esquemas de autenticación multifactor robustos (más allá del SMS) e invertir en formación continua de clientes y empleados para detectar smishing y aplicaciones fraudulentas. La combinación de tecnologías de detección, controles de riesgo en tiempo real y educación en ciberseguridad será determinante para mitigar el impacto de amenazas emergentes como Massiv.
