Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware móvil masivo

Malware móvil masivo

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Analistas de ciberseguridad han descubierto un sofisticado troyano bancario para Android, conocido como Massiv, diseñado para ejecutar ataques de robo de dispositivos (DTO) con el objetivo de robar dinero. El malware se disfraza de aplicaciones IPTV legítimas y ataca a usuarios que buscan servicios de televisión en línea.

Aunque se ha identificado en un número limitado de campañas específicas, el nivel de amenaza es significativo. Una vez instalado, Massiv permite a los atacantes controlar remotamente los dispositivos comprometidos, realizar transacciones fraudulentas y explotar directamente las cuentas bancarias móviles de las víctimas.

El malware se detectó inicialmente en campañas dirigidas a usuarios de Portugal y Grecia a principios de este año. Sin embargo, el análisis forense ha rastreado variantes de muestra hasta principios de 2025, lo que sugiere operaciones de prueba previas a menor escala.

Recopilación avanzada de credenciales y manipulación de superposiciones

Massiv incorpora capacidades comunes en el malware bancario avanzado para Android. Facilita el robo de credenciales mediante diversas técnicas, como la transmisión de pantalla a través de la API MediaProjection de Android, el registro de pulsaciones de teclas, la interceptación de SMS y la colocación de superposiciones engañosas sobre aplicaciones bancarias y financieras legítimas. Estas superposiciones solicitan a los usuarios que proporcionen sus credenciales de inicio de sesión e información de su tarjeta de crédito.

Una campaña destacada se dirigió específicamente a gov.pt, una aplicación del gobierno portugués utilizada para almacenar documentos de identidad y gestionar la Llave Móvil Digital (CMD). La superposición maliciosa suplantaba la interfaz oficial y solicitaba los números de teléfono y códigos PIN de los usuarios, probablemente para eludir los procesos de verificación KYC (Conozca a su Cliente).

Las investigaciones también revelaron casos en los que se utilizaron datos robados para abrir nuevas cuentas bancarias a nombre de las víctimas. Estas cuentas fraudulentas se utilizaron posteriormente para operaciones de lavado de dinero o solicitudes de préstamos no autorizadas, todo ello sin el conocimiento de las víctimas.

Capacidades de control remoto y evasión de captura de pantalla

Además del robo de credenciales, Massiv funciona como una herramienta de acceso remoto completamente funcional. Permite a los atacantes controlar encubiertamente los dispositivos infectados mientras muestra una pantalla negra superpuesta para ocultar la actividad maliciosa. Estas técnicas explotan los servicios de accesibilidad de Android, una táctica también observada en otros troyanos bancarios como Crocodilus, Datzbro y Klopatra.

Ciertas aplicaciones financieras implementan mecanismos de protección contra capturas de pantalla. Para eludir estas defensas, Massiv implementa una técnica denominada "modo de árbol de interfaz de usuario". Este método recorre las raíces de AccessibilityWindowInfo y procesa recursivamente los objetos AccessibilityNodeInfo para reconstruir una representación detallada de la interfaz visible del dispositivo.

El malware genera un mapa JSON estructurado que contiene texto visible, descripciones de contenido, elementos de la interfaz de usuario, coordenadas de pantalla y marcadores de interacción que indican si los elementos son clicables, editables, enfocados o habilitados. Solo los nodos visibles que contienen texto se transmiten a la infraestructura de comandos del atacante, lo que permite una interacción remota precisa mediante comandos emitidos.

Funcionalidad maliciosa integral

Massiv cuenta con un amplio conjunto de herramientas operativas que permite una amplia manipulación y persistencia de dispositivos. Sus capacidades incluyen:

  • Activar o desactivar una superposición de pantalla negra, silenciar sonidos y vibraciones
  • Transmisión de la pantalla del dispositivo y envío de información del dispositivo
  • Realizar gestos de clic y deslizamiento de forma remota
  • Modificar el contenido del portapapeles
  • Desbloqueo del dispositivo mediante autenticación de patrón
  • Implementar superposiciones para aplicaciones específicas o pantallas de bloqueo
  • Descargar paquetes de superposición e instalar archivos APK adicionales
  • Abrir configuraciones del sistema como Optimización de batería, Administrador de dispositivos y Play Protect
  • Solicitar permisos de instalación de paquetes y SMS
  • Borrar las bases de datos de registros del dispositivo

Estas funciones en conjunto permiten a los atacantes mantener el control, evadir la detección y ejecutar fraudes financieros con precisión.

Tácticas de distribución: Droppers con temática de IPTV

Massiv se propaga mediante campañas de phishing por SMS con aplicaciones que imitan servicios de IPTV. Tras la instalación, el dropper solicita a la víctima que instale una actualización importante y permiso para instalar aplicaciones externas.

Los artefactos maliciosos identificados incluyen:

  • IPTV24 (hfgx.mqfy.fejku) – Aplicación de cuentagotas
  • Google Play (hobfjp.anrxf.cucm) – Carga útil masiva

En la mayoría de los casos documentados, las aplicaciones IPTV legítimas no se vieron comprometidas. En cambio, el dropper simplemente mostraba contenido web relacionado con IPTV a través de una vista web, creando la ilusión de funcionalidad mientras el malware se ejecutaba en segundo plano.

Durante los últimos seis meses, campañas similares con temática televisiva se han dirigido principalmente a España, Portugal, Francia y Turquía.

Indicadores de Comercialización y Desarrollo Continuo

Massiv ingresa a un ecosistema de malware para Android ya saturado, lo que subraya la persistente demanda de soluciones integrales contra el fraude financiero dentro de las comunidades cibercriminales.

Aunque aún no se ha confirmado como una oferta de Malware como Servicio, el análisis indica avances en esa dirección. La introducción de claves API para la comunicación backend sugiere un esfuerzo por estandarizar las operaciones y, potencialmente, permitir el uso por parte de terceros. La revisión del código revela además un desarrollo activo, lo que indica que podrían surgir características adicionales y capacidades ampliadas en futuras iteraciones.

Tendencias

Mas Visto

Cargando...