Eine neue Bank Malware für Android, getauft von Forschern als Massiv, verwendet gefälschte IPTV-Anwendungen als Haken, um digitale Identitäten zu stehlen und auf Online-Bankkonten zugreifen. Die Betreiber hinter dieser Malware-Familie nutzen den Brauch von vielen Benutzern APKS aus offiziellen Läden herunterladen, um den Trojaner als Internet-TV-App zu tarnen und so das Opfer zu überzeugen, scheinbar harmlose Software zu installieren.
Laut der vom Unternehmen veröffentlichten Analyse zur Betrugserkennung und Überwachung mobiler Bedrohungen ThirFabric, Massiv ist nicht darauf beschränkt, Anmeldeinformationen mit grundlegenden Techniken zu stehlen: es kombiniert Bildschirmüberlagerungen und Keylogging mit zwei Fernbedienungsmodi, die Angreifern erlauben, das Gerät zu manipulieren, als ob sie es physisch in ihren Händen hatte. Dies beinhaltet die Möglichkeit, den Live-Bildschirm mit der Android MediaProjection API anzuzeigen und eine Möglichkeit, die Schnittstellenstruktur (sichtbarer Text, Artikelnamen, Koordinaten und Interaktionsattribute) mit dem Zugänglichkeitsdienst des Systems zu extrahieren.
Die Verwendung der MediaProjection API zur Übertragung des Bildschirms und der Extraktion eines "UI-Baums" von Access Service macht Massiv zu einer anspruchsvollen Bedrohung: Die erste Methode ermöglicht es Ihnen, genau zu beobachten, was der Benutzer sieht, während die zweite erlaubt automatisierte Interaktionen auf Interface-Elementen, wie Drücken von Tasten oder Ausfüllen von Textfeldern. Dieser letztgenannte Modus kann die Protektionen überwinden, die viele Bank- und Messaging-Apps aktivieren, um Screenshots oder Aufnahmen zu verhindern, weil Angreifer auf die Schnittstellenstruktur wirken und nicht nur bildabhängig.
Die Konsequenzen sind ernst. In den von ThreatFabric beobachteten Kampagnen attackierte Massiv eine portugiesische Regierungsanwendung, die mit der Schlüssel zum digitalen Movel, das portugiesische System der Authentifizierung und der digitalen Signatur. Informationen einer solchen App können es den Bietern erlauben, Kundenverifikationsprozesse (KYC) zu vermeiden, Bankkonten im Namen des Opfers in anderen Unternehmen zu eröffnen, Kredite anzufordern oder Geldwäsche-Systeme durchzuführen, so dass Finanzverpflichtungen an die wirkliche Person, die diese Transaktionen nie genehmigt hat.
Forscher zeigen auch auf ein besorgniserregendes Muster: in den letzten Monaten hat die Anzahl der IPTV-Thema APKS als Malware-Downloads verwendet. Da diese Anwendungen oft an Urheberrechtsverletzungen beteiligt sind, erscheinen sie nicht auf Google Play und ihre Benutzer werden verwendet, um sie von unoffiziellen Kanälen zu erhalten, was den Verdacht reduziert, wenn eine Seite APK (Seitenlast) angefordert wird.
Die von Analysten gemeldete Wirkungskarte zeigt eine größere Aktivität in Spanien, Portugal, Frankreich und der Türkei, obwohl die Technik selbst auf jeden Markt anwendbar ist, wo die Nutzer bereit sind, Apps außerhalb der offiziellen Geschäfte zu installieren. In vielen Fällen tritt der Installer (Dropper) eine legitime IPTV-App ein oder zeigt sogar eine reale Website innerhalb eines WebView, um das Aussehen von normal zu halten, während die schädliche Nutzlast im Hintergrund installiert ist.
Der Schutz vor Bedrohungen wie Massiv erfordert die Kombination von gesundem Menschenverstand mit technischen Maßnahmen. Vor allem, Vermeidung von Downloads von Anwendungen aus nicht verifizierten Quellen ist die effektivste Verteidigung: immer suchen Sie nach renommierten Editoren und Apps im offiziellen Store, überprüfen Sie Bewertungen und Berechtigungen, und Misstrauen Installateure, die Fragen der Zugänglichkeit Dienste oder Bildschirmaufnahme Berechtigungen ohne klare Begründung aktivieren. Google Play Protect aktiv zu halten und das Gerät zu scannen bietet regelmäßig eine zusätzliche Ebene der Erkennung; die Google-Seite auf Play Protect erklärt seine Operation und wie es auf jedem Android aktivieren: Google Play Protect Unterstützung.
Technisch können App-Entwickler und Finanzinstitute auch das Risiko abmildern: mit starken Authentifizierungsmechanismen (vorzugsweise hardwaregestützt), die Exposition sensibler Daten in der Schnittstelle begrenzen, abnorme Interaktionen erkennen und Anti-Automations-Kontrollen verwenden. Fortgeschrittene Benutzer sollten sich mit den von den Apps angeforderten Berechtigungen vertraut machen und sich besonders auf Anfragen zur Aktivierung des Zugänglichkeitsdienstes, der oft an Steuergeräte missbraucht wird, verlassen. Diejenigen, die Dienste entwickeln oder verwalten, die mit digitalen Identitäten umgehen, können die offizielle technische Dokumentation über die MediaProjection und AccessibilityService API konsultieren, um zu verstehen, wie diese Tools missbraucht werden: Mediendesign (Android) und AccessibilityService (Android).
Wenn Sie vermuten, dass Ihr Gerät beeinträchtigt wurde, wird empfohlen, sofort von öffentlichen Netzwerken zu trennen, relevante Anmeldeinformationen zu widerrufen (Passwörter und PINS in ein anderes sicheres Gerät zu ändern), Ihre Bank und die zuständigen Behörden zu kontaktieren und im Falle einer bestätigten Infektion das Telefon nach der Sicherung der legitimen Daten wieder in Ihren Arbeitszustand zu bringen. In Portugal können z.B. öffentliche Cybersicherheitsbehörden Leitlinien für Vorfälle im Zusammenhang mit nationalen digitalen Identitätsdiensten bereitstellen; Centro Nacional de Cybersegurança ist eine der offiziellen Mittel.
Massiv ist eine Erinnerung, dass mobile Bedrohungen durch die Nutzung der Mischung des Systems von legitimen Werkzeugen und menschliches Verhalten entwickelt: Technologie, die Zugänglichkeit und Bildschirmaufzeichnung erleichtert, kann auch ein Vektor für Betrug werden, wenn es in schlechte Hände fällt. Die Erhaltung sicherer Gewohnheiten bei der Installation von Apps, die Aktualisierung des Betriebssystems und die Überprüfung der finanziellen Aktivität reduziert oft das Risiko, Opfer solcher Angriffe zu sein.
Um den technischen Bericht zu vertiefen und Beispiele dafür zu sehen, wie Massiv funktioniert und welche Kampagnen beobachtet werden, können Sie die vollständige Analyse von ThreatFabric auf seinem Blog sehen: Massiv: Wenn Ihre IPTV-App Ihre Einsparungen beendet sowie die Medienabdeckung, die diese Erkenntnisse in spezialisierten Medien synthetisiert.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...