Investigadores de ciberseguridad han revelado detalles de un nuevo troyano de Android llamado Massiv que tiene como objetivo facilitar los ataques de adquisición de dispositivos (DTO) para robo financiero.
Según ThreatFabric, el malware engaña a las víctimas disfrazándose de una aplicación IPTV aparentemente inofensiva, lo que indica que la actividad identifica principalmente a los usuarios que buscan aplicaciones de TV en línea.
«Aunque esta nueva amenaza sólo se ha visto en un número limitado de campañas altamente dirigidas, ya representa un riesgo significativo para los usuarios de banca móvil, permitiendo a sus operadores controlar de forma remota los dispositivos infectados y realizar más transacciones fraudulentas desde las cuentas bancarias de las víctimas para llevar a cabo ataques de apropiación de dispositivos», dijo la compañía holandesa de seguridad móvil en un informe compartido con The Hacker News.
Al igual que varias familias de malware bancario para Android, Massiv admite una amplia gama de funciones que facilitan el robo de credenciales a través de una variedad de métodos, incluida la transmisión de pantalla a través de la API MediaProjection de Android, registro de teclas, interceptación de SMS y superposiciones falsas en aplicaciones bancarias y financieras. La superposición solicita al usuario que ingrese sus credenciales y los detalles de su tarjeta de crédito.
Se encontró una de esas campañas dirigida a gov.pt, una aplicación del gobierno portugués que permite a los usuarios almacenar sus documentos de identidad y administrar sus claves móviles digitales (también conocida como Chave Móvel Digital o CMD). Esta superposición engaña a los usuarios para que ingresen su número de teléfono y código PIN, presumiblemente para evitar la verificación Conozca a su cliente (KYC).
ThreatFabric dijo que ha identificado casos en los que los estafadores han utilizado información obtenida a través de estas superposiciones para abrir nuevas cuentas bancarias a nombre de las víctimas, lo que les permite usarlas para lavado de dinero o aprobación de préstamos sin el conocimiento de la víctima real.
Además, funciona como una herramienta de control remoto completamente funcional, lo que permite a los operadores acceder en secreto a los dispositivos de las víctimas mientras muestra una pantalla negra para ocultar actividades maliciosas. Estas técnicas se logran explotando los servicios de accesibilidad de Android y se han observado en otros banqueros de Android como Crocodilus, Datzbro y Klopatra.
«Sin embargo, algunas aplicaciones implementan protección contra capturas de pantalla», explicó la empresa. «Para evitar esto, Massiv utiliza el llamado modo de árbol UI, que atraviesa la raíz AccessibilityWindowInfo y procesa recursivamente los objetos AccessibilityNodeInfo».
Esto se hace para construir una representación JSON del texto mostrado y la descripción del contenido, el elemento de la interfaz de usuario, las coordenadas de la pantalla y los indicadores de interacción que indican si se puede hacer clic en el elemento de la interfaz de usuario, si se puede editar, enfocar o habilitar. Sólo los nodos que son visibles y contienen texto se exportan al atacante, quien luego puede decidir el siguiente curso de acción emitiendo comandos específicos para interactuar con el dispositivo.
Este malware tiene la capacidad de realizar una amplia gama de acciones maliciosas.
Habilite la superposición negra y silencie el sonido y la vibración. Enviar información del dispositivo. Realice acciones de hacer clic y deslizar. Modifica el portapapeles con texto específico. Desactiva la pantalla negra. Activa o desactiva la transmisión de pantalla. Desbloquea tu dispositivo con un patrón. Proporciona una aplicación, un patrón de bloqueo del dispositivo o una superposición de PIN. Descargue el archivo ZIP que contiene la superposición de su aplicación. Descargue e instale el archivo APK. Abra la pantalla de configuración de Optimización de batería, Administrador de dispositivos y Play Protect. Solicite permiso para acceder a mensajes SMS, instalar paquetes APK, borrar la base de datos de registros en el dispositivo
Massiv se distribuye en forma de una aplicación cuentagotas que imita las aplicaciones de IPTV mediante phishing por SMS. Una vez instalado y ejecutado, el dropper solicita a las víctimas que instalen actualizaciones «críticas» dándoles permiso para instalar software de fuentes externas. Los nombres de los artefactos maliciosos se enumeran a continuación.
IPTV24 (hfgx.mqfy.fejku) – Cuentagotas Google Play (hobfjp.anrxf.cucm) – Massiv
«La mayoría de los casos observados están simplemente disfrazados», afirmó ThreatFabric. «Las aplicaciones reales de IPTV no están infectadas o no contienen código malicioso para empezar. Los droppers que imitan las aplicaciones de IPTV normalmente abren un WebView que contiene un sitio web de IPTV, pero el malware real ya está instalado y ejecutándose en el dispositivo».
Durante los últimos seis meses, la mayoría de las campañas de malware para Android que utilizan droppers relacionados con la televisión se dirigieron a España, Portugal, Francia y Turquía.
Massiv es el último participante en el ya saturado panorama de amenazas de Android, lo que refleja la demanda continua de este tipo de soluciones llave en mano entre los ciberdelincuentes.
«Aunque todavía no hemos observado que se promocione como Malware-as-a-Service, los operadores de Massiv están mostrando señales claras de seguir este camino, introduciendo claves API utilizadas para la comunicación de malware con backends», dijo ThreatFabric. «El análisis del código revela que el desarrollo está en curso y es posible que se introduzcan más funciones en el futuro».
Source link
