🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de um novo trojan Android chamado Massiv, projetado para facilitar ataques de aquisição de dispositivos (DTO) para roubo financeiro.
O malware, de acordo com o ThreatFabric, se disfarça como aplicativos de IPTV aparentemente inofensivos para enganar as vítimas, indicando que a atividade está principalmente destacando os usuários que procuram os aplicativos de TV online.
“Esta nova ameaça, embora apenas vista num número limitado de campanhas bastante direcionadas, já representa um grande risco para os utilizadores de serviços bancários móveis, permitindo aos seus operadores controlar remotamente dispositivos infetados e realizar ataques de aquisição de dispositivos com outras transações fraudulentas realizadas a partir das contas bancárias das vítimas”, afirmou a empresa holandesa de segurança móvel num relatório partilhado com The Hacker News.
ThreatFabric disse ao The Hacker News por e-mail que o malware foi detectado pela primeira vez em uma campanha direcionada a usuários em Portugal e na Grécia no início deste ano, embora tenha observado amostras que datam do início de 2025 como parte de campanhas de teste menores.
Como várias famílias de malware bancário para Android, o Massiv oferece suporte a uma ampla gama de recursos para facilitar o roubo de credenciais por meio de vários métodos: streaming de tela por meio da API MediaProjection do Android, keylogging, interceptação de SMS e sobreposições falsas servidas em aplicativos bancários e financeiros. A sobreposição pede aos usuários que insiram suas credenciais e detalhes de cartão de crédito.
Descobriu-se que uma dessas campanhas tinha como alvo o gov.pt, uma aplicação da administração pública portuguesa que permite aos utilizadores armazenar documentos de identificação e gerir a Chave Móvel Digital (também conhecida como Chave Móvel Digital ou CMD). A sobreposição engana os usuários para que insiram seu número de telefone e código PIN, provavelmente em um esforço para ignorar a verificação Know Your Customer (KYC).
A ThreatFabric disse que identificou casos em que os golpistas usaram as informações capturadas por meio dessas sobreposições para abrir novas contas bancárias em nome da vítima, permitindo que fossem usadas para lavagem de dinheiro ou obtenção de empréstimos aprovados sem o conhecimento real da vítima.
Além disso, serve como uma ferramenta de controle remoto totalmente funcional, garantindo ao operador a capacidade de acessar furtivamente o dispositivo da vítima enquanto mostra uma sobreposição de tela preta para ocultar a atividade maliciosa. Essas técnicas, realizadas através do abuso dos serviços de acessibilidade do Android, também foram observadas em vários outros banqueiros Android, como Crocodilus, Datzbro e Klopatra.
“No entanto, alguns aplicativos implementam proteção contra captura de tela”, explicou a empresa. "Para contorná-lo, o Massiv usa o chamado modo UI-tree - ele atravessa raízes AccessibilityWindowInfo e processa recursivamente objetos AccessibilityNodeInfo."
Isso é feito para construir uma representação JSON de texto visível e descrições de conteúdo, elementos de UI, coordenadas de tela e sinalizadores de interação que indicam se o elemento de UI é clicável, editável, focado ou habilitado. Somente nós visíveis e com texto são exportados para o invasor, que pode então determinar o próximo curso de ação emitindo comandos específicos para interagir com o dispositivo.
O malware está equipado para realizar uma ampla gama de ações maliciosas -
Ativar sobreposição preta, silenciar sons e vibrações
Enviar informações do dispositivo
Execute ações de clicar e deslizar
Alterar a área de transferência com texto específico
Desativar tela preta
Ativar/desativar streaming de tela
Desbloquear dispositivo com padrão
Servir sobreposições para um aplicativo, bloqueio de padrão de dispositivo ou PIN
Baixe o arquivo ZIP com sobreposições para aplicativos direcionados
Baixe e instale arquivos APK
Abra as telas de configurações de Otimização de bateria, Administração de dispositivos e Play Protect
Solicitação de permissões para acessar mensagens SMS, instalar pacotes APK,
Limpar bancos de dados de log no dispositivo
O Massiv é distribuído na forma de aplicativos dropper que imitam aplicativos de IPTV por meio de phishing por SMS. Uma vez instalado e iniciado, o dropper solicita à vítima que instale uma atualização "importante", concedendo-lhe permissões para instalar software de fontes externas. Os nomes dos artefatos maliciosos estão listados abaixo -
IPTV24 (hfgx.mqfy.fejku) - Conta-gotas
Google Play (hobfjp.anrxf.cucm) - Massiv
“Na maioria dos casos observados, é apenas um disfarce”, disse ThreatFabric. “Nenhum aplicativo de IPTV real foi infectado ou inicialmente continha código malicioso. Normalmente, o dropper que imita um aplicativo de IPTV abre um WebView com um site de IPTV nele, enquanto o malware real já está instalado e em execução no dispositivo.”
A maioria das campanhas de malware para Android que usam droppers relacionados à TV tiveram como alvo Espanha, Portugal, França e Turquia nos últimos seis meses.
Massiv é o mais recente participante de um cenário de ameaças Android já lotado, refletindo a demanda contínua por essas soluções prontas para uso entre os cibercriminosos.
“Embora ainda não tenha sido observado sendo promovido como Malware-as-a-Service, o operador do Massiv mostra sinais claros de que vai fazer isso
O malware, de acordo com o ThreatFabric, se disfarça como aplicativos de IPTV aparentemente inofensivos para enganar as vítimas, indicando que a atividade está principalmente destacando os usuários que procuram os aplicativos de TV online.
“Esta nova ameaça, embora apenas vista num número limitado de campanhas bastante direcionadas, já representa um grande risco para os utilizadores de serviços bancários móveis, permitindo aos seus operadores controlar remotamente dispositivos infetados e realizar ataques de aquisição de dispositivos com outras transações fraudulentas realizadas a partir das contas bancárias das vítimas”, afirmou a empresa holandesa de segurança móvel num relatório partilhado com The Hacker News.
ThreatFabric disse ao The Hacker News por e-mail que o malware foi detectado pela primeira vez em uma campanha direcionada a usuários em Portugal e na Grécia no início deste ano, embora tenha observado amostras que datam do início de 2025 como parte de campanhas de teste menores.
Como várias famílias de malware bancário para Android, o Massiv oferece suporte a uma ampla gama de recursos para facilitar o roubo de credenciais por meio de vários métodos: streaming de tela por meio da API MediaProjection do Android, keylogging, interceptação de SMS e sobreposições falsas servidas em aplicativos bancários e financeiros. A sobreposição pede aos usuários que insiram suas credenciais e detalhes de cartão de crédito.
Descobriu-se que uma dessas campanhas tinha como alvo o gov.pt, uma aplicação da administração pública portuguesa que permite aos utilizadores armazenar documentos de identificação e gerir a Chave Móvel Digital (também conhecida como Chave Móvel Digital ou CMD). A sobreposição engana os usuários para que insiram seu número de telefone e código PIN, provavelmente em um esforço para ignorar a verificação Know Your Customer (KYC).
A ThreatFabric disse que identificou casos em que os golpistas usaram as informações capturadas por meio dessas sobreposições para abrir novas contas bancárias em nome da vítima, permitindo que fossem usadas para lavagem de dinheiro ou obtenção de empréstimos aprovados sem o conhecimento real da vítima.
Além disso, serve como uma ferramenta de controle remoto totalmente funcional, garantindo ao operador a capacidade de acessar furtivamente o dispositivo da vítima enquanto mostra uma sobreposição de tela preta para ocultar a atividade maliciosa. Essas técnicas, realizadas através do abuso dos serviços de acessibilidade do Android, também foram observadas em vários outros banqueiros Android, como Crocodilus, Datzbro e Klopatra.
“No entanto, alguns aplicativos implementam proteção contra captura de tela”, explicou a empresa. "Para contorná-lo, o Massiv usa o chamado modo UI-tree - ele atravessa raízes AccessibilityWindowInfo e processa recursivamente objetos AccessibilityNodeInfo."
Isso é feito para construir uma representação JSON de texto visível e descrições de conteúdo, elementos de UI, coordenadas de tela e sinalizadores de interação que indicam se o elemento de UI é clicável, editável, focado ou habilitado. Somente nós visíveis e com texto são exportados para o invasor, que pode então determinar o próximo curso de ação emitindo comandos específicos para interagir com o dispositivo.
O malware está equipado para realizar uma ampla gama de ações maliciosas -
Ativar sobreposição preta, silenciar sons e vibrações
Enviar informações do dispositivo
Execute ações de clicar e deslizar
Alterar a área de transferência com texto específico
Desativar tela preta
Ativar/desativar streaming de tela
Desbloquear dispositivo com padrão
Servir sobreposições para um aplicativo, bloqueio de padrão de dispositivo ou PIN
Baixe o arquivo ZIP com sobreposições para aplicativos direcionados
Baixe e instale arquivos APK
Abra as telas de configurações de Otimização de bateria, Administração de dispositivos e Play Protect
Solicitação de permissões para acessar mensagens SMS, instalar pacotes APK,
Limpar bancos de dados de log no dispositivo
O Massiv é distribuído na forma de aplicativos dropper que imitam aplicativos de IPTV por meio de phishing por SMS. Uma vez instalado e iniciado, o dropper solicita à vítima que instale uma atualização "importante", concedendo-lhe permissões para instalar software de fontes externas. Os nomes dos artefatos maliciosos estão listados abaixo -
IPTV24 (hfgx.mqfy.fejku) - Conta-gotas
Google Play (hobfjp.anrxf.cucm) - Massiv
“Na maioria dos casos observados, é apenas um disfarce”, disse ThreatFabric. “Nenhum aplicativo de IPTV real foi infectado ou inicialmente continha código malicioso. Normalmente, o dropper que imita um aplicativo de IPTV abre um WebView com um site de IPTV nele, enquanto o malware real já está instalado e em execução no dispositivo.”
A maioria das campanhas de malware para Android que usam droppers relacionados à TV tiveram como alvo Espanha, Portugal, França e Turquia nos últimos seis meses.
Massiv é o mais recente participante de um cenário de ameaças Android já lotado, refletindo a demanda contínua por essas soluções prontas para uso entre os cibercriminosos.
“Embora ainda não tenha sido observado sendo promovido como Malware-as-a-Service, o operador do Massiv mostra sinais claros de que vai fazer isso
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #aplicativos #falsos #de #iptv #espalham #malware #massivo #para #android #visando #usuários #de #serviços #bancários #móveis
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário