Исследователи ThreatFabric зафиксировали появление нового Android-банковского трояна Massiv, который маскируется под популярные IPTV-приложения и позволяет злоумышленникам получать практически полный контроль над устройством жертвы. Основная цель атакующих — кража учетных данных интернет-банкинга и последующее финансовое мошенничество.
Сценарий атаки: SMS-фишинг и поддельные IPTV-приложения
Распространение Massiv строится на классической схеме SMS-фишинга (smishing). Пользователь получает сообщение с ссылкой на якобы легальное IPTV-приложение (например, «IPTV24») с обещанием доступа к каналам или «важному обновлению». Переход по ссылке приводит не в официальный магазин приложений, а на страницу загрузки APK-файла.
После установки дроппер запускается как обычное IPTV-приложение, но сразу предлагает установить «критическое обновление», запрашивая разрешение на установку ПО из неизвестных источников. Это ключевой момент: разрешение sideloading открывает путь для полной установки вредоносного компонента вне Google Play и стандартных механизмов проверки.
Важно, что сами легитимные сервисы IPTV не подвергались компрометации. Дроппер просто открывает в WebView реальный сайт IPTV-провайдера, создавая иллюзию нормальной работы. В это время троян уже разворачивается в фоне и настраивает каналы связи с командно-контрольным сервером (C2).
Функциональность Massiv: банковский троян и полнофункциональный RAT
Кража банковских данных и перехват коммуникаций
Massiv включает весь типичный набор возможностей Android-банкеров нового поколения. Вредонос использует MediaProjection API для захвата и трансляции экрана, что позволяет операторам видеть все действия пользователя в реальном времени: от ввода логина до подтверждения транзакций.
Троян также реализует кейлоггинг и перехват SMS, что важно для обхода одноразовых кодов (OTP) и SMS-уведомлений банков. Данные о вводимых паролях, PIN-кодах, кодах подтверждения и содержимом сообщений передаются на сервер злоумышленников, где уже могут использоваться для несанкционированного доступа к счетам.
Ключевой механизм атаки — фальшивые оверлеи поверх банковских и финансовых приложений. Когда жертва открывает целевое приложение, Massiv накладывает поддельный интерфейс, визуально неотличимый от оригинала, и просит ввести логин, пароль или данные банковской карты. Такие приемы широко применялись и в других известных семьях мобильных троянов (например, Anatsa или Xenomorph), и остаются одним из самых эффективных способов кражи учетных данных.
Атаки на госуслуги и обход KYC-процедур
Отдельно исследователи отмечают кампанию, нацеленную на португальское государственное приложение gov.pt. В этом случае оверлей запрашивал номер телефона и PIN-код, что может использоваться для обхода процедур идентификации (KYC) при доступе к государственным сервисам и связанным финансовым операциям.
Зафиксированы случаи, когда похищенные персональные и банковские данные использовались для открытия счетов на имя жертв. Такие счета могут служить для отмывания денег, получения микрокредитов или перевода украденных средств, что значительно осложняет для пострадавших дальнейшее взаимодействие с банками и регуляторами.
Удалённый доступ и злоупотребление Accessibility Services
Помимо функций банковского трояна, Massiv работает как полнофункциональный RAT (Remote Access Trojan). Оператор может удалённо подключаться к устройству, при этом на экране жертвы отображается черный экран — так маскируется активность злоумышленника, пока он выполняет операции в приложениях банка или кошельках.
Эта функциональность реализуется за счет злоупотребления Accessibility Services — специальных сервисов доступности Android, изначально предназначенных для помощи пользователям с ограниченными возможностями. Massiv перехватывает события интерфейса, клики и ввод, а также использует так называемый UI-tree mode: троян обходит дерево AccessibilityWindowInfo, формирует JSON-представление всех видимых элементов и передает его оператору. Такой подход позволяет обходить защиту от захвата экрана, действующую в банковских и некоторых системных приложениях.
География атак и перспективы развития Massiv
Первые целевые кампании с использованием Massiv были обнаружены против пользователей в Португалии и Греции в начале года, однако отдельные образцы вредоносного ПО датируются началом 2025 года, что указывает на длительную фазу скрытой разработки и тестирования. С учётом того, что инфраструктура и код активны и дорабатываются, можно ожидать расширения географии атак.
По данным отраслевых отчетов по мобильной безопасности, банковские трояны для Android стабильно остаются одной из самых прибыльных категорий малвари. Поэтому появление нового, технологически «тяжелого» семейства вроде Massiv повышает риск массовых атак на пользователей мобильного банкинга, особенно в странах с высокой популярностью SMS-уведомлений и слабой культурой цифровой гигиены.
Признаки будущего Malware-as-a-Service
Исследователи ThreatFabric отмечают, что Massiv пока не распространяется по модели MaaS (Malware-as-a-Service), когда авторы вредоноса сдают его в аренду другим киберпреступникам. Однако архитектура уже предусматривает использование API-ключей для взаимодействия с бэкендом, что упрощает масштабирование инфраструктуры и управление большим числом операторов.
Анализ кода показывает, что проект находится в стадии активной разработки: появляются новые модули, дорабатываются механизмы скрытности и устойчивости к удалению, расширяется список целевых приложений. Такой подход типичен для семейства, которое готовят к коммерциализации на подпольных форумах, где готовые банковские трояны и комплекты для фишинга продаются и сдаются в аренду.
На фоне появления Massiv пользователям Android стоит пересмотреть базовые практики безопасности: не устанавливать приложения по ссылкам из SMS и мессенджеров, отключить установку из неизвестных источников, регулярно обновлять систему и банковские приложения, внимательно проверять запрашиваемые разрешения (особенно на доступ к SMS и сервисам доступности), а также использовать решения для мобильной защиты. Для организаций, работающих с мобильными клиентами, ключевыми остаются мониторинг мошеннических транзакций, внедрение многофакторной аутентификации и системное обучение пользователей распознаванию фишинга.
