Идеальная копия банка на экране → украденный пароль → новый кредит на вашем счету. Встречайте троян Massiv

На Android снова всплыл новый банковский троян, который заточен под один и тот же сценарий: заставить человека установить приложение в обход магазина, выманить доступы, а затем забрать управление телефоном и провести операции уже «руками» оператора. В свежем исследовании специалистов по анализу мобильных угроз это семейство назвали Massiv, по одному из его внутренних модулей.

Massiv пока попадался не в массовых рассылках, а в сравнительно небольших, прицельных кампаниях. Но даже при таком масштабе риск высокий, потому что троян рассчитан на захват устройства и последующие мошеннические транзакции с банковских счетов жертвы. В отчёте отдельно отмечены подтверждённые случаи мошенничества в южной Европе.

По набору функций Massiv выглядит как типичный современный банковский троян, только без очевидных родственных связей с другими известными семействами. Внутри есть всё, что нужно для кражи данных и обхода защит: поддельные экраны поверх настоящих приложений, перехват ввода с клавиатуры, перехват СМС и пуш-уведомлений. Всё это помогает вытащить логины, пароли, реквизиты карт и одноразовые коды, а затем удержать доступ достаточно долго, чтобы довести атаку до денег.

Первым этапом часто идут поддельные экраны. Massiv следит, какие приложения запускают на заражённом телефоне. Как только пользователь открывает нужную цель, троян показывает поверх неё фальшивую форму входа или подтверждения. Внешне она копирует интерфейс настоящего приложения и просит ввести «стандартные» данные, которые человек привык вводить сам: логин, пароль, PIN, реквизиты карты.

В одной из разобранных кампаний целью оказался не банковский клиент, а португальское государственное приложение gov.pt. Оно работает как цифровой кошелёк личности, поэтому на поддельном экране у жертвы просили номер телефона и PIN-код. В отчёте предполагают, что злоумышленникам это нужно для обхода проверок личности, которые завязаны на госидентификацию. Это важно в контексте финансового мошенничества: если преступники могут подтвердить личность через официальный цифровой инструмент, им проще проходить процедуры, которые обычно отсекают мошенническую активность.

Рядом упоминается и Chave Móvel Digital, португальская система цифровой аутентификации и электронной подписи. Через неё граждане получают доступ к онлайн-сервисам, включая банковские. Если троян помогает украсть данные, которые связаны с этой связкой, дальше становится реальнее не просто войти в аккаунт, но и подтверждать операции.

В некоторых случаях на имя жертвы открывались новые счета в банках и сервисах, которыми человек раньше не пользовался. Такие аккаунты изначально под контролем мошенников, поэтому их удобно использовать как промежуточные кошельки для вывода средств, для схем с отмыванием, а иногда и для оформления кредитов. В результате жертва может столкнуться не только с потерей денег, но и с долгами в банке, где она не открывала счёт.

Когда данные собраны, Massiv включает самую опасную часть, удалённое управление телефоном. В коде описан модуль FuncVNC. Он построен на сервисе специальных возможностей Android, то есть на том самом механизме, который нужен людям с ограничениями по зрению или моторике, но который часто используют вредоносные программы. Через него троян получает возможность видеть элементы интерфейса и выполнять действия на экране. Обмен командами и данными идёт через WebSocket, который используется как транспорт до управляющего сервера.

Во время удалённой сессии у Massiv есть два режима работы. Первый это трансляция экрана. Он использует стандартный MediaProjection API, то есть умеет показывать оператору изображение с дисплея почти в реальном времени. Но часть приложений, особенно финансовых, специально блокирует захват экрана. На этот случай предусмотрен второй режим, который в отчёте называют UI-tree. Суть в том, что вместо картинки троян собирает «дерево интерфейса» через API специальных возможностей и превращает его в JSON-описание того, что сейчас на экране.

В этот JSON попадают видимый текст, описания элементов, технические классы компонентов, координаты, а также признаки вроде «можно нажать», «можно вводить», «в фокусе», «активно». При этом выгружаются не все элементы подряд, а только те, которые реально помогают управлять экраном: видимые, кликабельные или содержащие текст. Оператор получает структурированную схему экрана и может находить нужные кнопки и поля ввода, даже если приложение не даёт сделать скриншот. Это же позволяет автоматизировать часть действий, опираясь на атрибуты элементов, а не на угадывание координат.

Отдельный пласт истории это то, как Massiv попадает на устройства. В наблюдаемой кампании троян маскировали под IPTV-приложение, то есть под приложение для онлайн-телевидения. Здесь расчет на привычку аудитории: многие IPTV-сервисы распространяются не через Google Play, а через сайты, форумы и Telegram-каналы, иногда из-за ограничений по авторским правам. Пользователи таких приложений часто спокойно относятся к установке из неизвестных источников и не удивляются просьбе выдать дополнительные разрешения.

Большая часть таких кейсов вообще не про взлом легального IPTV. Злоумышленники просто берут узнаваемую вывеску и прячут под вывеской загрузчик.

Схема выглядит так: приложение внутри показывает страницу или плеер реального IPTV-сервиса, поэтому на экране всё похоже на правду и пользователь не сразу понимает, что попал не туда. Параллельно в фоне запускается вредоносный модуль, который делает свою работу незаметно от человека.

По наблюдениям исследователей, за последние 6–8 месяцев приманка с IPTV стала встречаться чаще. Растёт число загрузчиков, которые выдают себя за IPTV-приложения. Подобные кампании фиксировали в Испании, Португалии, Франции и Турции.

В финале отчёта Massiv описывают как семейство, которое ещё развивается. В частности, упоминаются API-ключи для общения с серверной частью. Плюс заметно, что разработка продолжается, и набор функций может расшириться. Отдельный риск в том, что небольшие, точечные кампании часто дольше остаются незаметными: меньше шума, меньше массовых индикаторов, меньше внимания со стороны автоматических систем.

Индикаторы компрометации из отчёта:

SHA-256: 54d4cb45fb7a18780ff2ccc7314b9b51ae446c58a179abbf9e62ce0c28539e8e
package name: hobfjp.anrxf.cucm
application name: Google Play
описание: Massiv payload

SHA-256: f9a52a923989353deb55136830070554db40f544be5a43534273126060f8c1f6
package name: hfgx.mqfy.fejku
application name: IPTV24
описание: Dropper