Un nouveau malware bancaire pour Android, baptisé par les chercheurs comme Massiv, utilise de fausses applications IPTV comme un crochet pour voler des identités numériques et accéder à des comptes bancaires en ligne. Les opérateurs derrière cette famille de logiciels malveillants profitent de la coutume de nombreux utilisateurs de télécharger APKS hors des magasins officiels pour camoufler le cheval de Troie comme une application TV Internet, et ainsi convaincre la victime d'installer un logiciel apparemment inoffensif.
Selon l'analyse publiée par l'entreprise pour la détection et la surveillance des menaces mobiles ThirFabric, Massiv ne se limite pas au vol d'identité avec des techniques de base : il combine superpositions d'écran et keylogging avec deux modes de télécommande qui permettent aux attaquants de manipuler l'appareil comme s'ils l'avaient physiquement dans leurs mains. Cela inclut la possibilité de visualiser l'écran en direct en utilisant l'API Android MediaProjection et un moyen d'extraire la structure de l'interface (texte visible, noms d'éléments, coordonnées et attributs d'interaction) en utilisant le service d'accessibilité du système.
L'utilisation de l'API MediaProjection pour transmettre l'écran et l'extraction d'un "arbre UI" depuis Access Service fait de Massiv une menace sophistiquée : la première méthode vous permet d'observer exactement ce que l'utilisateur voit, tandis que la seconde permet des interactions automatisées sur des éléments d'interface, tels que le pressage de boutons ou le remplissage de champs de texte. Ce dernier mode peut surmonter les protections que de nombreuses applications bancaires et de messagerie activent pour empêcher des captures d'écran ou des enregistrements, parce que les attaquants agissent sur la structure de l'interface plutôt que seulement en fonction de l'image.
Les conséquences sont graves. Dans les campagnes observées par ThreatFabric, Massiv a attaqué une application du gouvernement portugais qui se connecte avec le Mouvement numérique clé, le système portugais d'authentification et de signature numérique. Les informations provenant d'une telle application peuvent permettre aux délinquants d'éviter les processus de vérification des clients (KYC), d'ouvrir des comptes bancaires pour le compte de la victime dans d'autres entités, de demander des prêts ou de mettre en œuvre des mécanismes de blanchiment d'argent, laissant des obligations financières à la personne réelle qui n'a jamais autorisé de telles transactions.
Les chercheurs soulignent également un schéma inquiétant: au cours des derniers mois, le nombre de thèmes IPTV APKS utilisés comme téléchargements de logiciels malveillants a augmenté. Comme ces applications sont souvent impliquées dans des violations du droit d'auteur, elles n'apparaissent pas sur Google Play et leurs utilisateurs sont utilisés pour les obtenir de canaux non officiels, ce qui réduit les soupçons lorsqu'un APK latéral (charge latérale) est demandé.
La carte d'impact rapportée par les analystes montre une plus grande activité en Espagne, au Portugal, en France et en Turquie, bien que la technique elle-même soit applicable à tout marché où les utilisateurs sont disposés à installer des applications en dehors des magasins officiels. Dans de nombreux cas, l'installateur (dropper) incarne une application IPTV légitime ou montre même un site réel dans un WebView pour maintenir l'apparence normale pendant que la charge utile malveillante est installée en arrière-plan.
Pour se protéger contre des menaces comme Massiv, il faut combiner le bon sens et des mesures techniques. Tout d'abord, éviter de télécharger des applications à partir de sources non vérifiées est la défense la plus efficace: toujours rechercher des éditeurs et des applications renommés dans le magasin officiel, vérifier les commentaires et les permissions, et les installateurs méfiants qui demandent à activer des services d'accessibilité ou d'enregistrement d'écran sans justification claire. Garder Google Play Protect actif et l'utiliser pour analyser régulièrement l'appareil fournit une couche supplémentaire de détection; la page Google sur Play Protect explique son fonctionnement et comment l'activer sur chaque Android: Google Play Protéger le support.
Techniquement, les développeurs d'applications et les institutions financières peuvent également atténuer les risques : utiliser des mécanismes d'authentification puissants (de préférence soutenus par du matériel), limiter l'exposition des données sensibles dans l'interface, détecter des interactions anormales et utiliser des contrôles anti-automation. Les utilisateurs avancés doivent connaître les autorisations demandées par les applications et être particulièrement peu sûrs des demandes d'activation du service d'accessibilité, qui est souvent utilisé abusivement pour contrôler les appareils. Ceux qui développent ou gèrent des services qui gèrent des identités numériques peuvent consulter la documentation technique officielle sur l'API MediaProjection and AccessibilityService pour comprendre comment ces outils sont utilisés abusivement : Conception des médias (Android) et Service d'accessibilité (Android).
Si vous soupçonnez que votre appareil a été compromis, il est recommandé de vous déconnecter immédiatement des réseaux publics, de révoquer les informations pertinentes (pour changer les mots de passe et PINS en un autre dispositif sûr), de contacter votre banque et les autorités compétentes et, en cas d'infection confirmée, de restaurer le téléphone à votre état de travail après sauvegarde des données légitimes. Au Portugal, par exemple, les organismes publics de cybersécurité peuvent fournir des conseils sur les incidents liés aux services nationaux d'identité numérique; Centro Nacional de Cybersegurança est l'une des ressources officielles.
Massiv rappelle que les menaces mobiles évoluent en profitant du mélange d'outils légitimes et de comportements humains du système : la technologie qui facilite l'accessibilité et l'enregistrement d'écran peut également devenir un vecteur de fraude si elle tombe entre de mauvaises mains. Le maintien d'habitudes sûres lors de l'installation d'applications, la mise à jour du système d'exploitation et l'examen des activités financières réduisent souvent considérablement le risque d'être victime de telles attaques.
Pour approfondir le rapport technique et voir des exemples du fonctionnement de Massiv et des campagnes observées, vous pouvez voir l'analyse complète de ThreatFabric sur son blog: Massiv: Lorsque votre application IPTV met fin à vos économies ainsi que la couverture médiatique qui synthétise ces résultats dans des médias spécialisés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...