Les chercheurs en cybersécurité ont détecté un nouveau cheval de Troie Android qui cible les opérations financières par la télécommande. Connu sous le nom de Massiv, ce logiciel malveillant est déguisé en applications IPTV pour gagner la confiance de ceux qui cherchent à regarder la télévision en ligne et finit par exécuter une série de techniques visant à vider des comptes ou à supplanter des identités.
Massiv ne vole pas seulement les lettres de créances de manière traditionnelle: combine la capture d'écran, l'enregistrement des clés et le chevauchement de fausses interfaces pour tromper l'utilisateur et capturer les données sensibles, y compris les numéros de carte et PIN. Pour la transmission d'écran profiter de l'API Android MediaProjection, une fonctionnalité légitime conçue pour partager l'écran mais qui dans de mauvaises mains facilite le vol visuel de ce qui apparaît sur l'appareil ( documentation officielle de MediaProjection).
Lorsqu'une application légitime tente de prévenir les captures, Massiv utilise une méthode plus silencieuse : il utilise des services d'accessibilité pour lire la structure de l'interface utilisateur. En passant par les arbres des fenêtres et les nœuds d'accessibilité, les logiciels malveillants construisent une représentation JSON de contenu visible - textes, descriptions, positions et quels éléments sont interactifs - et envoient ces informations à l'attaquant, qui peut ainsi décider quelles actions automatiser.
Cette possibilité de "voir" et de manipuler l'écran est complétée par des écrans noirs qui masquent l'activité malveillante de l'utilisateur, la possibilité de silencieux l'appareil, simulant des touches et des diapositives, modifiant le presse-papiers et déverrouillant même le téléphone si vous connaissez ou obtenez le modèle. En outre, vous pouvez télécharger des chevauchements spécifiques pour des applications bancaires ou d'identité et exécuter des installations de paquet sans être facilement perçu par la victime.
Un exemple inquiétant identifié par les analystes est l'utilisation de ces chevauchements pour attaquer les applications de l'administration publique. Au Portugal, des campagnes ont été observées pour tenter de tromper les utilisateurs de l'application officielle gov.pt associés à la gestion Mouvement numérique clé, pour commander le numéro de téléphone et le NIP et ainsi éviter les contrôles de vérification. Grâce à ces données, les criminels ont pu ouvrir des comptes bancaires au nom des victimes et les utiliser comme véhicules pour blanchir de l'argent ou réclamer des crédits.
La distribution de Massiv se fait généralement par le biais de "droppers" : applications qui semblent être des lecteurs ou des services IPTV et qui viennent par SMS avec des liens phishing. Une fois ouverte, l'application affiche une page légitime dans un WebView tandis que, en arrière-plan, le composant malveillant qui demande la permission d'installer des applications à partir de sources inconnues et d'accéder aux SMS et autres fonctions critiques a déjà été installé.
Le modèle n'est pas nouveau, mais il est inquiétant pour sa sophistication.. L'abus des services d'accessibilité pour automatiser la fraude et la technique de chevauchement ont été utilisés par les familles de malwares bancaires sur Android depuis des années. Massiv ajoute à ce répertoire un ensemble modulaire de commandes à distance et la possibilité de télécharger des paquets avec des modèles pour cibler des applications spécifiques, suggérant que ses auteurs professionnalisent l'outil.
Les rapports techniques qui ont décrit ce cheval de Troie point à des campagnes ciblées dans des pays tels que l'Espagne, le Portugal, la France et la Turquie. En outre, les signes du code - par exemple, l'introduction de clés API pour la communication avec le serveur - suggèrent que ses opérateurs pourraient finir par l'offrir comme un service pour d'autres cybercriminels, un modèle connu sous le nom de Malware- a- Service.
Pour les utilisateurs, il existe des mesures pratiques qui réduisent les risques : évitez d'installer des applications à partir de liens reçus par SMS, vérifiez toujours qu'une application provient de magasins officiels, maintenez le système d'exploitation et les applications à jour et examinez les autorisations qui demandent une application. Activer des protections automatiques comme Google Play Protégez et des demandes de méfiance qui demandent des permissions élevées pour "mises à jour importantes" lorsque la source n'est pas vérifiable ( informations sur Play Protect).
Si vous avez une application bancaire, assurez-vous d'utiliser les canaux officiels de la banque et d'activer l'authentification de plusieurs facteurs lorsque disponible. Compte tenu de la suspicion de fraude ou si vous remarquez des transactions étrangères, contactez immédiatement votre institution financière et envisagez la possibilité de restaurer les appareils engagés dans les paramètres d'usine après avoir conservé des copies de ce qui est nécessaire.
L'apparition de Massiv rappelle que l'écosystème mobile demeure un objectif lucratif et que les tactiques évoluent rapidement. Pour ceux qui veulent approfondir l'analyse technique et la détection, les chercheurs qui ont documenté cette campagne ont publié un rapport détaillé avec des indicateurs et des observations ( Rapport de MenaceFabric) et les médias spécialisés ont reproduit et contextualisé leurs constatations ( Les nouvelles Hacker).
La leçon Il est clair que les applications qui imitent les services populaires, comme les lecteurs de télévision, sont un moyen régulier d'introduire des menaces. Attention et bonnes pratiques lors de l'installation de logiciels restent la première ligne de défense contre des outils de plus en plus automatiques et puissants conçus pour prendre en charge nos téléphones et, avec eux, notre argent et notre identité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...