Cybersecurity-Forscher haben ein neues Android-Trojan entdeckt, das Finanzoperationen durch Remote-Gerätesteuerung zielt. Bekannt als Massiv, wird diese bösartige Software als IPTV-Anwendungen verkleidet, um das Vertrauen derjenigen zu gewinnen, die Online-Fernseh zu sehen und endet mit einer Reihe von Techniken, die auf die Entleerung von Konten oder supplantieren Identitäten zielt.
Massiv stiehlt nicht nur Anmeldeinformationen auf traditionelle Weise: kombiniert Bildschirmerfassung, Schlüsselaufzeichnung und Überlagerung von falschen Schnittstellen, um den Benutzer zu täuschen und sensible Daten zu erfassen, einschließlich Kartennummern und PIN. Für die Bildschirmübertragung nutzen Sie die Android MediaProjection API, eine legitime Funktionalität entworfen, um den Bildschirm zu teilen, aber dass in falschen Händen erleichtert visuellen Diebstahl von dem, was auf dem Gerät erscheint ( offizielle Dokumentation von MediaProjection)
Wenn eine legitime App versucht, Fänge zu verhindern, verwendet Massiv eine ruhigere Methode: Es nutzt Zugänglichkeitsdienste, um die Struktur der Benutzeroberfläche zu lesen. Durch die Fensterbäume und Zugänglichkeitsknoten baut Malware eine JSON-Darstellung von sichtbaren Inhalten - Texte, Beschreibungen, Positionen und welche Elemente interaktiv sind - und sendet diese Informationen an den Angreifer, die so entscheiden können, welche Aktionen automatisieren.
Diese Fähigkeit, den Bildschirm zu "sehen" und zu manipulieren, wird durch schwarze Bildschirme ergänzt, die die bösartige Aktivität des Benutzers verbergen, die Möglichkeit, das Gerät zu dämpfen, Berührungen und Dias zu simulieren, die Zwischenablage zu ändern und sogar das Telefon zu entsperren, wenn Sie das Muster kennen oder erhalten. Darüber hinaus können Sie spezielle Überschneidungen für Bank- oder Identitätsanwendungen herunterladen und Paketeinrichtungen ausführen, ohne vom Opfer leicht wahrgenommen zu werden.
Ein besorgniserregendes Beispiel, das von Analysten identifiziert wird, ist die Verwendung dieser Überschneidungen, um Anwendungen der öffentlichen Verwaltung anzugreifen. In Portugal wurden Kampagnen beobachtet, die versuchen, Nutzer der offiziellen App zu täuschen gov.pt mit der Verwaltung von Schlüssel zum digitalen Movel, um die Telefonnummer und die PIN zu bestellen und so Verifizierungskontrollen zu vermeiden. Mit diesen Daten haben die Kriminellen es geschafft, Bankkonten im Namen der Opfer zu öffnen und sie als Fahrzeuge zu verwenden, um Geld zu verbergen oder Kredite zu verlangen.
Die Verteilung von Massiv erfolgt in der Regel über "Dropper": Anwendungen, die als IPTV-Player oder Dienste erscheinen und die per SMS-Nachrichten mit Phishing-Links kommen. Beim Öffnen zeigt die Anwendung eine legitime Seite innerhalb eines WebView, während im Hintergrund die schädliche Komponente, die die Erlaubnis verlangt, Anwendungen aus unbekannten Quellen zu installieren und auf SMS und andere kritische Funktionen zuzugreifen, bereits installiert wurde.
Das Muster ist nicht neu, aber es ist für seine Raffinesse störend.. Der Missbrauch von Zugänglichkeitsdiensten zur Automatisierung von Betrugs- und Überschneidungstechnik wurde seit Jahren von Bank Malware-Familien auf Android verwendet. Massiv fügt diesem Repertoire einen modularen Satz von Remote-Befehlen und die Möglichkeit, Pakete mit Vorlagen zu zielspezifischen Anwendungen herunterzuladen, was darauf hindeutet, dass seine Autoren das Tool professionalisieren.
Die technischen Berichte, die diesen Trojanischen Punkt beschrieben haben, um gezielte Kampagnen in Ländern wie Spanien, Portugal, Frankreich und Türkei. Darüber hinaus schlagen die Zeichen im Code - zum Beispiel die Einführung von API-Schlüsseln für die Kommunikation mit dem Server - vor, dass seine Betreiber es als Dienst für andere Cyberkriminelle anbieten könnten, ein Modell namens Malware- as- a- Service.
Für Benutzer gibt es praktische Maßnahmen, die das Risiko reduzieren: vermeiden Sie die Installation von Anwendungen von Links per SMS, überprüfen Sie immer, dass eine App aus offiziellen Geschäften kommt, halten Sie das Betriebssystem und Apps aktuell und überprüfen Sie die Berechtigungen, die eine Anwendung anfordern. Aktivieren Sie automatische Schutze wie Google Play Protect und Misstrauen Anfragen, die nach hohen Berechtigungen für "wichtige Updates" fragen, wenn die Quelle nicht verifizierbar ist ( Informationen Ã1⁄4ber Play Protect)
Wenn Sie eine Bank-App haben, stellen Sie sicher, dass Sie die offiziellen Kanäle der Bank nutzen und die Mehrfach-Faktor-Authentifizierung aktivieren, wenn verfügbar. In Anbetracht des Verdachts auf einen Betrug oder wenn Sie ausländische Transaktionen bemerken, wenden Sie sich sofort an Ihr Finanzinstitut und betrachten Sie die Möglichkeit der Wiederherstellung von Geräten, die an Werkseinstellungen gebunden sind, nachdem Sie Kopien von dem, was notwendig ist.
Das Aussehen von Massiv erinnert daran, dass das mobile Ökosystem ein lukratives Ziel bleibt und dass sich die Taktik schnell entwickelt. Für diejenigen, die die technische Analyse und Detektion vertiefen wollen, haben die Forscher, die diese Kampagne dokumentiert haben, einen detaillierten Bericht mit Indikatoren und Beobachtungen veröffentlicht ( Bericht von ThreatFabric), und die spezialisierten Medien haben ihre Ergebnisse repliziert und kontextualisiert ( The Hacker News)
Die Lektion Es ist klar: Anwendungen, die beliebte Dienste wie TV-Spieler imitieren, sind eine regelmäßige Möglichkeit, Bedrohungen einzuführen. Vorsicht und gute Praxis bei der Installation von Software bleiben die erste Linie der Verteidigung gegen zunehmend automatische und leistungsfähige Werkzeuge entwickelt, um unsere Telefone und, mit ihnen, unser Geld und unsere Identität zu übernehmen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...