Специалисты компании ThreatFabric выявили новый опасный троян для устройств на Android — Massiv. Вредоносное ПО маскируется под IPTV-приложения и позволяет злоумышленникам полностью контролировать смартфон, похищая при этом деньги с банковских счетов пользователей.


Специалисты компании ThreatFabric выявили новый опасный троян для устройств на Android — Massiv. Вредоносное ПО маскируется под IPTV-приложения и позволяет злоумышленникам полностью контролировать смартфон, похищая при этом деньги с банковских счетов пользователей.


Схема заражения проста: жертве приходит SMS с предложением установить телевизионный плеер. После запуска приложение запрашивает «обязательное обновление» с разрешением на установку из непроверенных источников. Вместе с этим обновлением на устройство попадает троян. Massiv уже применялся в нескольких целевых атаках. Несмотря на ограниченное распространение, угроза особенно высока для пользователей мобильного банкинга, так как злоумышленники получают полный доступ к устройству и могут совершать финансовые операции от имени владельца.

Функционал Massiv включает перехват SMS, запись нажатий клавиш, трансляцию экрана через MediaProjection API, создание фальшивых окон поверх банковских приложений для кражи учетных данных и платежной информации. В частности, были зафиксированы атаки на пользователей португальского государственного сервиса gov.pt, где поддельный интерфейс запрашивал номер телефона и PIN-код, вероятно, для обхода процедур KYC. Полученные данные мошенники использовали для открытия банковских счетов на имена жертв или оформления кредитов.

Троян также выступает как полноценный инструмент удаленного администрирования: он способен затемнять экран, отключать звук, имитировать касания и свайпы, изменять буфер обмена, устанавливать APK-файлы, а также отключать защиту Play Protect и оптимизацию аккумулятора. В случаях блокировки записи экрана Massiv активирует «UI-tree mode», анализируя структуру интерфейса через Accessibility Services, преобразуя её в JSON и отправляя команды оператору.

Стоит отметить, что сами IPTV-приложения не содержат вредоносного кода. Троян использует дроппер, который открывает WebView с реальным IPTV-сервисом, создавая иллюзию нормальной работы приложения. Среди обнаруженных подделок были IPTV24 и даже «Google Play». ThreatFabric отмечает, что Massiv пока не продается массово, но признаки коммерциализации, включая API-ключи серверной части, свидетельствуют о намерении масштабирования атаки.