Investigadores de ciberseguridad han revelado detalles de un nuevo troyano para Android llamado Masivo que está diseñado para facilitar los ataques de toma de control de dispositivos (DTO) para robo financiero.
El malware, según ThreatFabric, se hace pasar por aplicaciones de IPTV aparentemente inofensivas para engañar a las víctimas, lo que indica que la actividad está principalmente señalando a los usuarios que buscan aplicaciones de TV en línea.
«Esta nueva amenaza, aunque sólo se ve en un número limitado de campañas bastante dirigidas, ya representa un gran riesgo para los usuarios de la banca móvil, permitiendo a sus operadores controlar de forma remota los dispositivos infectados y realizar ataques de apropiación de dispositivos con transacciones fraudulentas realizadas desde las cuentas bancarias de la víctima», dijo la compañía holandesa de seguridad móvil en un informe compartido con The Hacker News.
Al igual que varias familias de malware bancario para Android, Massiv admite una amplia gama de funciones para facilitar el robo de credenciales a través de varios métodos: transmisión de pantalla a través de la API MediaProjection de Android, registro de teclas, interceptación de SMS y superposiciones falsas en aplicaciones bancarias y financieras. La superposición solicita a los usuarios que ingresen sus credenciales y detalles de su tarjeta de crédito.
Se ha descubierto que una de esas campañas está dirigida a gov.pt, una aplicación de la administración pública portuguesa que permite a los usuarios almacenar documentos de identificación y administrar la clave móvil digital (también conocida como Chave Móvel Digital o CMD). La superposición engaña a los usuarios para que ingresen su número de teléfono y código PIN, probablemente en un esfuerzo por eludir la verificación Conozca a su cliente (KYC).
ThreatFabric dijo que identificó casos en los que los estafadores utilizaron la información capturada a través de estas superposiciones para abrir nuevas cuentas bancarias a nombre de la víctima, lo que les permitió usarlas para lavar dinero o obtener préstamos aprobados sin el conocimiento de la víctima real.
Además, sirve como una herramienta de control remoto completamente funcional, otorgando al operador la capacidad de acceder sigilosamente al dispositivo de la víctima mientras muestra una pantalla negra superpuesta para ocultar la actividad maliciosa. Estas técnicas, realizadas abusando de los servicios de accesibilidad de Android, también se han observado en varios otros banqueros de Android como Crocodilus, Datzbro y Klopatra.
«Sin embargo, algunas aplicaciones implementan protección contra captura de pantalla», explicó la empresa. «Para evitarlo, Massiv utiliza el llamado modo UI-tree: atraviesa las raíces de AccessibilityWindowInfo y procesa recursivamente objetos AccessibilityNodeInfo».
Esto se hace para crear una representación JSON de texto visible y descripciones de contenido, elementos de la interfaz de usuario, coordenadas de pantalla e indicadores de interacción que indican si se puede hacer clic en el elemento de la interfaz de usuario, si se puede editar, enfocar o habilitar. Sólo los nodos que son visibles y tienen texto se exportan al atacante, quien luego puede determinar el siguiente curso de acción emitiendo comandos específicos para interactuar con el dispositivo.
El malware está equipado para llevar a cabo una amplia gama de acciones maliciosas:
- Habilitar superposición negra, silenciar sonidos y vibraciones
- Enviar información del dispositivo
- Realizar acciones de hacer clic y deslizar
- Modificar el portapapeles con texto específico
- Desactivar pantalla negra
- Activar/desactivar la transmisión de pantalla
- Desbloquear dispositivo con patrón
- Ofrecer superposiciones para una aplicación, patrón de bloqueo de dispositivo o PIN
- Descargue un archivo ZIP con superposiciones para aplicaciones específicas
- Descargar e instalar archivos APK
- Abra las pantallas de configuración de Optimización de batería, Administrador de dispositivos y Play Protect
- Solicite permisos para acceder a mensajes SMS, instalar paquetes APK,
- Borrar bases de datos de registros en el dispositivo
Massiv se distribuye en forma de aplicaciones cuentagotas que imitan aplicaciones de IPTV mediante phishing por SMS. Una vez instalado y ejecutado, el dropper solicita a la víctima que instale una actualización «importante» otorgándole permisos para instalar software de fuentes externas. Los nombres de los artefactos maliciosos se enumeran a continuación:
- IPTV24 (hfgx.mqfy.fejku) – Gotas
- Google Play (hobfjp.anrxf.cucm) – Massiv
«En la mayoría de los casos observados, se trata simplemente de un enmascaramiento», afirmó ThreatFabric. «Ninguna aplicación de IPTV real fue infectada o inicialmente contenía código malicioso. Por lo general, el dropper que imita una aplicación de IPTV abre un WebView con un sitio web de IPTV, mientras que el malware real ya está instalado y ejecutándose en el dispositivo».
La mayoría de las campañas de malware para Android que utilizan droppers relacionados con la televisión se han dirigido a España, Portugal, Francia y Turquía durante los últimos seis meses.
Massiv es el último participante en un ya saturado panorama de amenazas para Android, lo que refleja la demanda continua de este tipo de soluciones llave en mano entre los ciberdelincuentes.
«Aunque aún no se ha observado que se promocione como Malware-as-a-Service, el operador de Massiv muestra señales claras de seguir este camino, introduciendo claves API para ser utilizadas en la comunicación de malware con el backend», dijo ThreatFabric. «El análisis del código reveló un desarrollo continuo y es probable que se introduzcan más funciones en el futuro».