Massive mobile Malware
Cybersicherheitsexperten haben einen ausgeklügelten Android-Banking-Trojaner namens Massiv entdeckt, der für Geräteübernahmen (DTO) mit dem Ziel finanzieller Diebstähle entwickelt wurde. Die Schadsoftware tarnt sich als legitime IPTV-Anwendung und zielt auf Nutzer ab, die nach Online-Fernsehdiensten suchen.
Obwohl Massiv bisher nur in wenigen gezielten Kampagnen identifiziert wurde, ist die Bedrohung erheblich. Nach der Installation ermöglicht es Angreifern, kompromittierte Geräte fernzusteuern, betrügerische Transaktionen durchzuführen und direkt auf die mobilen Bankkonten der Opfer zuzugreifen.
Die Schadsoftware wurde Anfang des Jahres erstmals in Kampagnen gegen Nutzer in Portugal und Griechenland entdeckt. Forensische Analysen konnten jedoch Varianten der Schadsoftware bis Anfang 2025 zurückverfolgen, was auf zuvor durchgeführte, kleinere Testoperationen hindeutet.
Inhaltsverzeichnis
Erweiterte Erfassung von Anmeldeinformationen und Manipulation von Overlays
Massiv nutzt Funktionen, die typischerweise in hochentwickelter Android-Banking-Malware zu finden sind. Es ermöglicht den Diebstahl von Zugangsdaten durch verschiedene Techniken, darunter Bildschirm-Streaming über die MediaProjection-API von Android, Keylogging, Abfangen von SMS und irreführende Overlays, die über legitime Banking- und Finanzanwendungen gelegt werden. Diese Overlays fordern Nutzer zur Eingabe ihrer Anmeldedaten und Kreditkarteninformationen auf.
Eine bemerkenswerte Kampagne zielte gezielt auf gov.pt ab, eine portugiesische Regierungsanwendung zur Speicherung von Ausweisdokumenten und zur Verwaltung des digitalen Mobiltelefonschlüssels (Chave Móvel Digital oder CMD). Die schädliche Benutzeroberfläche gab sich als offizielle Benutzeroberfläche aus und forderte Telefonnummern und PIN-Codes der Nutzer an, vermutlich um die KYC-Verifizierung (Know Your Customer) zu umgehen.
Die Ermittlungen deckten zudem Fälle auf, in denen gestohlene Daten dazu missbraucht wurden, neue Bankkonten im Namen der Opfer zu eröffnen. Diese betrügerischen Konten wurden anschließend für Geldwäsche oder unautorisierte Kreditanträge genutzt – alles ohne Wissen der Opfer.
Fernsteuerungsfunktionen und Verhinderung der Bildschirmaufnahme
Neben dem Diebstahl von Zugangsdaten fungiert Massiv als voll funktionsfähiges Fernzugriffstool. Es ermöglicht Angreifern die verdeckte Kontrolle über infizierte Geräte, indem es einen schwarzen Bildschirm als Overlay anzeigt, um schädliche Aktivitäten zu verschleiern. Diese Techniken nutzen Android-Barrierefreiheitsdienste aus, eine Taktik, die auch bei anderen Banking-Trojanern wie Crocodilus, Datzbro und Klopatra beobachtet wurde.
Bestimmte Finanzanwendungen implementieren Mechanismen zum Schutz vor Bildschirmaufnahmen. Um diese Schutzmechanismen zu umgehen, verwendet Massiv eine Technik namens „UI-Baum-Modus“. Diese Methode durchläuft die Wurzeln von AccessibilityWindowInfo und verarbeitet rekursiv AccessibilityNodeInfo-Objekte, um eine detaillierte Darstellung der sichtbaren Benutzeroberfläche des Geräts zu rekonstruieren.
Die Schadsoftware generiert eine strukturierte JSON-Map, die sichtbaren Text, Inhaltsbeschreibungen, UI-Elemente, Bildschirmkoordinaten und Interaktionsflags enthält. Diese Flags geben an, ob Elemente anklickbar, bearbeitbar, fokussiert oder aktiviert sind. Nur sichtbare Knoten mit Text werden an die Kommandostruktur des Angreifers übertragen und ermöglichen so eine präzise Fernsteuerung über Befehle.
Umfassende Schadfunktionalität
Massiv verfügt über ein umfassendes operatives Werkzeugset, das weitreichende Gerätemanipulation und Persistenz ermöglicht. Zu seinen Funktionen gehören:
- Aktivieren oder Deaktivieren einer schwarzen Bildschirmüberlagerung, Stummschalten von Tönen und Vibration
- Streamen des Gerätebildschirms und Senden von Geräteinformationen
- Aus der Ferne Klick- und Wischgesten ausführen
- Bearbeiten des Zwischenablageinhalts
- Entsperren des Geräts per Musterauthentifizierung
- Bereitstellung von Overlays für bestimmte Anwendungen oder Sperrbildschirme
- Herunterladen von Overlay-Paketen und Installieren zusätzlicher APK-Dateien
- Öffnen von Systemeinstellungen wie Akkuoptimierung, Geräteadministrator und Play Protect
- Anforderung von Berechtigungen für SMS und Paketinstallation
- Geräteprotokolldatenbanken löschen
Zusammengenommen ermöglichen diese Funktionen den Angreifern, die Kontrolle zu behalten, einer Entdeckung zu entgehen und Finanzbetrug präzise durchzuführen.
Vertriebstaktiken: IPTV-Themen-Dropper
Massiv verbreitet sich über SMS-Phishing-Kampagnen mithilfe von Dropper-Anwendungen, die IPTV-Dienste imitieren. Nach der Installation fordert der Dropper das Opfer auf, ein „wichtiges“ Update zu installieren und bittet um die Erlaubnis, Anwendungen aus externen Quellen zu installieren.
Zu den identifizierten schädlichen Artefakten gehören:
- IPTV24 (hfgx.mqfy.fejku) – Dropper-Anwendung
- Google Play (hobfjp.anrxf.cucm) – Massive Nutzlast
In den meisten dokumentierten Fällen wurden legitime IPTV-Anwendungen nicht kompromittiert. Stattdessen zeigte der Dropper lediglich IPTV-bezogene Webinhalte über eine WebView an und erweckte so den Anschein von Funktionalität, während die Schadsoftware im Hintergrund ausgeführt wurde.
In den vergangenen sechs Monaten zielten ähnliche, auf Fernsehsendungen bezogene Dropper-Kampagnen vor allem auf Spanien, Portugal, Frankreich und die Türkei ab.
Indikatoren für Kommerzialisierung und laufende Entwicklung
Massiv betritt ein bereits gesättigtes Android-Malware-Ökosystem und unterstreicht damit die anhaltende Nachfrage nach schlüsselfertigen Lösungen für Finanzbetrug innerhalb der Cyberkriminellen-Szene.
Obwohl es sich noch nicht um ein Malware-as-a-Service-Angebot handelt, deuten Analysen auf eine Entwicklung in diese Richtung hin. Die Einführung von API-Schlüsseln für die Backend-Kommunikation lässt auf Bemühungen zur Standardisierung des Betriebs und potenzieller Nutzung durch Dritte schließen. Die Code-Überprüfung zeigt zudem eine aktive Entwicklung, was darauf hindeutet, dass in zukünftigen Versionen zusätzliche Funktionen und erweiterte Möglichkeiten hinzukommen könnten.
