Um novo malware bancário para Android, batizado pelos pesquisadores como Massiv, está usando aplicações falsas de IPTV como gancho para roubar identidades digitais e acessar contas bancárias online. Os operadores por trás desta família de malware aproveitam o costume de muitos usuários de baixar APKs fora de lojas oficiais para camuflar o troiano como uma app de televisão pela Internet, e assim convencer a vítima de instalar software aparentemente inofensivo.
De acordo com a análise publicada pela assinatura de detecção de fraude e vigilância de ameaças móveis ThreatFabric Massiv não se limita a roubar credenciais com técnicas básicas: combina superposições de tela e keylogging com dois modos de controle remoto que permitem aos atacantes manipular o dispositivo como se tivessem fisicamente na mão. Isto inclui a capacidade de ver o ecrã ao vivo através da API MediaProjection do Android e um modo que extrai a estrutura da interface (texto visível, nomes de elementos, coordenadas e atributos de interação) usando o serviço de acessibilidade do sistema.
O uso da API MediaProjection para transmitir a tela e a extração de um “árbol UI” do Accessibility Service convertem Massiv em uma ameaça sofisticada: o primeiro método permite observar exatamente o que o usuário vê, enquanto o segundo facilita interações automatizadas sobre elementos da interface, como carregar em botões ou preencher campos de texto. Este último modo pode contornar as protecções que muitas apps bancários e de mensagens ativam para evitar capturas de tela ou gravações, porque os atacantes atuam sobre a estrutura da interface em vez de depender apenas de imagens.
As consequências são graves. Em campanhas observadas por ThreatFabric, Massiv atacou uma aplicação governamental portuguesa que se liga à Chave Móvel Digital, o sistema português de autenticação e assinatura digital. A informação extraída de uma aplicação deste tipo pode permitir aos criminosos contornar processos de verificação de clientes (KYC), abrir contas bancárias em nome da vítima em outras instituições, solicitar empréstimos ou executar esquemas de branqueamento de capitais, deixando obrigações financeiras na pessoa real que nunca autorizou essas operações.
Os pesquisadores também apontam uma pauta preocupante: nos últimos meses tem aumentado o número de APKs temáticos de IPTV utilizados como downloaddores de malware. Dado que estas aplicações são frequentemente envolvidas em violações de direitos autorais, não aparecem no Google Play e seus usuários estão acostumados a obtê-las de canais não oficiais, o que reduz a suspeita quando solicitado a instalação de uma APK lateral (sideload).
O mapa de afectação relatado pelos analistas mostra uma maior atividade em Espanha, Portugal, França e Turquia, embora a técnica em si seja aplicável a qualquer mercado onde existam usuários dispostos a instalar apps fora de lojas oficiais. Em muitos casos, o instalador (dropper) passa por uma aplicação legítima de IPTV ou até mostra um site real dentro de um WebView para manter a aparência de normalidade enquanto o payload malicioso é instalado em segundo plano.
Proteger-se contra ameaças como Massiv exige combinar senso comum com medidas técnicas. Em primeiro lugar, evitar obter aplicações de fontes não verificadas é a defesa mais eficaz: procurar sempre editores e apps reputados na loja oficial, verificar relatos e permissões, e desconfiar de instaladores que pedem ativar serviços de acessibilidade ou permissões de gravação de tela sem justificação clara. Manter o Google Play Protect ativo e usá-lo para digitalizar o dispositivo regularmente traz uma camada adicional de detecção; a página do Google sobre Play Protect explica o seu funcionamento e como acioná-lo em cada Android: Suporte do Google Play Protect.
Tecnicamente, os desenvolvedores de apps e as instituições financeiras também podem mitigar o risco: usar mecanismos de autenticação fortes (preferivelmente hardware-backed), limitar a exposição de dados sensíveis na interface, detectar interações anormais e utilizar verificações anti-automação. Os usuários avançados devem familiarizar-se com as permissões que solicitam os apps e desconfiar especialmente de pedidos de ativação do serviço de acessibilidade, que muitas vezes se abusa para controlar dispositivos. Aqueles que desenvolvem ou gerem serviços que gerem identidades digitais podem consultar a documentação técnica oficial sobre a API MediaProjection e AccessibilityService para compreender como essas ferramentas são abusadas: MediaProjection (Android) e AccessibilityService (Android).
Se você suspeitar que o seu dispositivo foi comprometido, recomenda-se desligar imediatamente de redes públicas, revogar credenciais relevantes (mudar senhas e PINs em outro dispositivo seguro), contactar o seu banco e as autoridades competentes e, em casos de infecção confirmada, restaurar o telefone ao seu estado de fábrica após fazer backup dos dados legítimos. Em Portugal, por exemplo, os organismos de cibersegurança pública podem orientar incidentes relacionados a serviços nacionais de identidade digital; o Centro Nacional de Cibersegurança É um dos recursos oficiais.
Massiv é um lembrete de que as ameaças móveis evoluem aproveitando a mistura de ferramentas legítimas do sistema e o comportamento humano: a tecnologia que facilita a acessibilidade e a gravação de tela também pode se tornar um vetor para a fraude se cair em más mãos. Manter hábitos seguros ao instalar apps, atualizar o sistema operacional e revisar atividade financeira com frequência reduz significativamente o risco de ser vítima deste tipo de ataques.
Para aprofundar o relatório técnico e ver exemplos de como funciona Massiv e campanhas observadas, você pode consultar a análise completa de ThreatFabric em seu blog: Massiv: When your IPTV app terminates your savings, assim como a cobertura jornalística que sintetiza esses achados em meios especializados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...