Los investigadores de ciberseguridad han revelado detalles de un nuevo troyano para Android llamado Masivo que está diseñado para facilitar la toma de control del dispositivo ( PUNTO ) ataques por robo financiero.

El malware, según ThreatFabric, se hace pasar por aplicaciones de IPTV aparentemente inofensivas para engañar a las víctimas, lo que indica que la actividad se centra principalmente en los usuarios que buscan las aplicaciones de televisión en línea.

«Esta nueva amenaza, si bien solo se ve en un número limitado de campañas bastante específicas, ya representa un gran riesgo para los usuarios de la banca móvil, ya que permite a sus operadores controlar de forma remota los dispositivos infectados y realizar ataques de apropiación de dispositivos con más transacciones fraudulentas realizadas desde las cuentas bancarias de la víctima», dijo la empresa holandesa de seguridad móvil dijo en un informe compartido con The Hacker News.

Al igual que varias familias de malware bancario para Android, Massiv admite una amplia gama de funciones para facilitar el robo de credenciales mediante varios métodos: transmisión de pantalla a través de Android API MediaProjection , el registro de teclas, la interceptación de SMS y las superposiciones falsas estaban en las mejores aplicaciones bancarias y financieras. La superposición pide a los usuarios que introduzcan sus credenciales y detalles de tarjetas de crédito.

adsense

Se ha descubierto que una de esas campañas tiene como objetivo gov.pt , una aplicación de administración pública portuguesa que permite a los usuarios almacenar documentos de identificación y gestionar la clave móvil digital (también conocida como Llave móvil digital o CMD). La superposición engaña a los usuarios para que introduzcan su número de teléfono y su código PIN, probablemente con la intención de evitar la verificación de Conozca a su cliente (KYC).

ThreatFabric dijo que identificó casos en los que los estafadores usaron la información capturada a través de estas superposiciones para abrir nuevas cuentas bancarias a nombre de la víctima, lo que les permitió utilizarlas para lavar dinero o para obtener la aprobación de préstamos sin que la víctima real lo supiera.

Además, sirve como una herramienta de control remoto totalmente funcional, que permite al operador acceder sigilosamente al dispositivo de la víctima mientras muestra una pantalla negra superpuesta para ocultar la actividad maliciosa. Estas técnicas, realizadas mediante el uso indebido de los servicios de accesibilidad de Android, también se han observado en varios otros bancos de Android, como Cocodrilo , Datzbro , y Klopatra .

«Sin embargo, algunas aplicaciones implementan protección contra la captura de pantalla», explicó la empresa. «Para evitarlo, Massiv usa el llamado modo UI-Tree: recorre las raíces de AccessibilityWindowInfo y procesa recursivamente los objetos de AccessibilityNodeInfo».

Esto se hace para crear una representación JSON de descripciones de texto y contenido visibles, elementos de la interfaz de usuario, coordenadas de pantalla e indicadores de interacción que indiquen si se puede hacer clic en el elemento de la interfaz de usuario, se puede editar, se centra o está habilitado. Solo los nodos que están visibles y contienen texto se exportan al atacante, quien puede determinar el siguiente curso de acción emitiendo comandos específicos para interactuar con el dispositivo.

El malware está equipado para llevar a cabo una amplia gama de acciones maliciosas -

  • Habilita la superposición negra, silencia los sonidos y las vibraciones
  • Enviar información del dispositivo
  • Realizar acciones de clic y deslizar
  • Modificar el portapapeles con texto específico
  • Desactivar la pantalla negra
  • Activar/desactivar la transmisión de pantalla
  • Desbloquee el dispositivo con un patrón
  • Muestra superposiciones para una aplicación, un bloqueo de patrón de dispositivo o un PIN
  • Descargue el archivo ZIP con superposiciones para aplicaciones específicas
  • Descargar e instalar archivos APK
  • Abra las pantallas de optimización de la batería, administración de dispositivos y configuración de Play Protect
  • Solicitud de permisos para acceder a los mensajes SMS, instalar paquetes APK,
  • Borrar las bases de datos de registro del dispositivo
enlaces

Massiv se distribuye en forma de aplicaciones de cuentagotas que imitan las aplicaciones de IPTV mediante suplantación de identidad por SMS. Una vez instalado y lanzado, el dropper pide a la víctima que instale una actualización «importante» concediéndole permisos para instalar software de fuentes externas. Los nombres de los artefactos maliciosos se enumeran a continuación:

  • IPTV24 (hfgx.mqfy.fejku) - Cuentagotas
  • Google Play (hobfjp.anrxf.cucm) - Masivo

«En la mayoría de los casos observados, es solo una farsa», afirma ThreatFabric. «Ninguna aplicación de IPTV real estaba infectada ni contenía inicialmente código malintencionado. Por lo general, el cuentagotas que imita una aplicación de IPTV abre un WebView que contiene un sitio web de IPTV, cuando el malware propiamente dicho ya está instalado y ejecutándose en el dispositivo».

La mayoría de las campañas de malware para Android que utilizan droppers relacionados con la televisión se han dirigido a España, Portugal, Francia y Turquía durante los últimos seis meses.

Massiv es el último participante en un panorama de amenazas para Android ya abarrotado, lo que refleja la continua demanda de soluciones llave en mano de este tipo entre los ciberdelincuentes.

«Si bien aún no se ha observado que se promocione como malware como servicio, el operador de Massiv muestra señales claras de ir por este camino e introduce claves de API para utilizarlas en la comunicación del malware con el backend», afirma ThreatFabric. «El análisis del código reveló un desarrollo continuo, y es probable que se introduzcan más funciones en el futuro».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.