新‘Massiv’ Android 银行恶意软件伪装成 IPTV 应用

Source: Bleeping Computer

概述

一种新型 Android 银行恶意软件，研究人员将其命名为 Massiv，伪装成 IPTV 应用以窃取数字身份并访问在线银行账户。该恶意软件依赖屏幕叠加和键盘记录来获取敏感数据，并且能够远程控制被感染的设备。

在欺诈检测和移动威胁情报公司 ThreatFabric 的研究人员观察到的一个活动中，Massiv 针对的是一个葡萄牙政府应用，该应用与 Chave Móvel Digital（葡萄牙的数字认证和签名系统）相连接。

Massiv 使用的叠加层 – 来源：ThreatFabric

“MTI 研究发现，在受害者（感染设备的用户）名下的新银行和服务中开设了新账户（受害者并未使用这些银行和服务），” – ThreatFabric 报告。
“由于这些账户完全受欺诈者控制，他们可以进一步将其用于洗钱计划，以及获取贷款并套现，导致毫不知情的受害者为他们从未自行开设的账户背负债务。”

远程控制模式

Massiv 为其操作者提供了两种远程控制模式：

• 屏幕实时流媒体模式 – 利用 Android 的 MediaProjection API 对设备屏幕进行流式传输。
• UI‑树模式 – 从 Accessibility Service 中提取结构化数据，包括可见文本、界面元素名称、屏幕坐标以及交互属性。这使攻击者能够点击按钮、编辑文本框等，绕过在银行、通信及其他敏感应用中常用的屏幕捕获防护。

IPTV 诱饵的增长

IPTV 主题恶意加载 APK 的数量 – 来源：ThreatFabric

这些应用通常在版权侵权中扮演关键角色，因此因违反政策而无法在 Google Play 上上架。用户常常通过非官方渠道获取 APK 并侧载安装。

在大多数情况下，IPTV 应用是假的，既不提供盗版广播，也只是一个加载恶意负载的投放器（dropper）。在某些情况下，应用会在 WebView 中显示合法的 IPTV 网站，以维持假象。

假冒 IPTV 应用投放 Massiv – 来源：ThreatFabric

研究人员报告称，假冒 IPTV 伪装的恶意投放器主要针对 西班牙、葡萄牙、法国和土耳其 的用户。

建议： Android 用户应仅从官方渠道（Google Play）上可信出版商提供的经过审查的应用下载，保持 Play Protect 处于开启状态，并使用其定期扫描设备。