Os pesquisadores em cibersegurança descobriram um novo troianos para Android que aponta para operações financeiras através do controle remoto de dispositivos. Conhecido como Massiv, este software malicioso se disfarça de aplicativos de IPTV para ganhar a confiança de quem buscam ver televisão online e termina executando uma série de técnicas destinadas a esvaziar contas ou suplantar identidades.
Massiv não se limita a roubar credenciais de forma tradicional: combina captura de tela, registro de teclas e sobreposição de interfaces falsas para enganar o usuário e capturar dados sensíveis, incluindo números de cartão e PIN. Para a transmissão de tela aproveita a API do MediaProjection Android, uma funcionalidade legítima projetada para compartilhar o ecrã, mas que nas mãos erradas facilita o roubo visual do que aparece no dispositivo ( Documentação oficial do MediaProjection).
Quando uma app legítima tenta impedir capturas, Massiv recorre a um método mais silencioso: usa os serviços de acessibilidade para ler a estrutura da interface de usuário. Ao percorrer as árvores de janelas e nodos de acessibilidade, o malware constrói uma representação em JSON do conteúdo visível –textos, descrições, posições e quais elementos são interativos – e envia essa informação ao atacante, que pode assim decidir quais ações automatizar.
Esta capacidade de "ver" e manipular o ecrã é complementada por telas pretas que ocultam a atividade maliciosa ao usuário, a possibilidade de silenciar o dispositivo, simular toques e deslizamentos, alterar a área de transferência e até desbloquear o telefone se souber ou conseguir o padrão. Além disso, você pode baixar sobreposições específicas para aplicativos bancários ou de identidade e executar instalações de pacotes sem que a vítima o perceba facilmente.
Um exemplo preocupante detectado pelos analistas é o uso dessas superposições para atacar aplicações de administração pública. Em Portugal, foram observadas campanhas que tentam enganar usuários da app oficial gov.pt, associada à gestão da Chave Móvel Digital, para pedir o número de telefone e o PIN e assim contornar controles de verificação. Com esses dados, os criminosos conseguiram abrir contas bancárias em nome das vítimas e usá-las como veículos para branquear dinheiro ou solicitar créditos.
A distribuição de Massiv costuma ser feita através de "droppers": aplicativos que aparentam ser reprodutores ou serviços de IPTV e que chegam por mensagens SMS com links de phishing. Ao abrir-se, a aplicação mostra uma página legítima dentro de um WebView, enquanto, em segundo plano, já foi instalado o componente malicioso que pede permissões para instalar aplicativos de fontes desconhecidas e acessar SMS e outras funções críticas.
O padrão não é novo, mas inquietante por sua sofisticação. O abuso de serviços de acessibilidade para automatizar fraudes e a técnica de superposição foram empregadas por famílias de malware bancário no Android durante anos. Massiv acrescenta a esse repertório um conjunto modular de comandos remotos e a capacidade de baixar pacotes com modelos para apontar aplicações concretas, sugerindo que seus autores estão profissionalizando a ferramenta.
Os relatórios técnicos que descreveram este troiano apontam para campanhas focalizadas em países como Espanha, Portugal, França e Turquia. Além disso, os indícios no código — por exemplo, a introdução de chaves API para a comunicação com o servidor — fazem pensar que seus operadores poderiam terminar oferecendo-o como um serviço para outros criminosos informáticos, um modelo conhecido como Malware-as-a-Service.
Para os usuários, há medidas práticas que reduzem o risco: evitar instalar aplicativos de links recebidos por SMS, verificar sempre que uma aplicação prove de lojas oficiais, manter o sistema operacional e os apps atualizados e revisar as permissões que solicita uma aplicação. Activa as protecções automáticas como o Google Play Protect e desconfia de pedidos que exigem licenças elevadas para “atualizações importantes” quando a fonte não é verificável ( Informações sobre Play Protect).
Se você tem um aplicativo bancário, certifique-se de usar os canais oficiais do banco e ativa autenticação de múltiplos fatores quando estiver disponível. Dada a suspeita de fraude ou se as notas transações estranhas, contacta imediatamente a sua entidade financeira e considera a opção de restabelecer dispositivos comprometidos com os ajustes de fábrica após a gravação de cópias do necessário.
A aparição de Massiv lembra que o ecossistema móvel continua sendo um objetivo lucrativo e que as táticas evoluem rapidamente. Para quem quiser aprofundar a análise técnica e a detecção, os investigadores que documentaram esta campanha publicaram um relatório detalhado com indicadores e observações ( relatório do ThreatFabric), e os meios especializados replicaram e contextualizaram seus achados ( The Hacker News).
A lição É claro: as aplicações que imitam serviços populares, como os leitores de TV, são uma via habitual para introduzir ameaças. A precaução e as boas práticas ao instalar software continuam a ser a primeira linha de defesa contra ferramentas cada vez mais automáticas e poderosas concebidas para se apoderar dos nossos telefones e, com eles, do nosso dinheiro e da nossa identidade.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...