Investigadores de ciberseguridad han revelado detalles de un nuevo troyano para Android llamado masivo que está diseñado para facilitar los ataques de toma de control de dispositivos (DTO) para robo financiero.
El malware, según ThreatFabric, se hace pasar por aplicaciones de IPTV aparentemente inofensivas para engañar a las víctimas, lo que indica que la actividad está principalmente señalando a los usuarios que buscan aplicaciones de TV en línea.
«Esta nueva amenaza, aunque sólo se ve en un número limitado de campañas bastante específicas, ya representa un gran riesgo para los usuarios de la banca móvil, permitiendo a sus operadores controlar de forma remota los dispositivos infectados y realizar ataques de apropiación del dispositivo con transacciones fraudulentas realizadas desde las cuentas bancarias de la víctima», afirmó la empresa holandesa de seguridad móvil. dicho en un informe compartido con The Hacker News.
ThreatFabric dijo a The Hacker News por correo electrónico que el malware se detectó por primera vez en una campaña dirigida a usuarios en Portugal y Grecia a principios de este año, aunque ha observado muestras que datan de principios de 2025 como parte de campañas de prueba más pequeñas.
Al igual que varias familias de malware bancario para Android, Massiv admite una amplia gama de funciones para facilitar el robo de credenciales a través de varios métodos: transmisión de pantalla a través de Android API de proyección de mediosregistro de teclas, interceptación de SMS y superposiciones falsas en aplicaciones bancarias y financieras. La superposición solicita a los usuarios que ingresen sus credenciales y detalles de su tarjeta de crédito.
Se ha descubierto que una de esas campañas está dirigida a gov.ptuna aplicación de la administración pública portuguesa que permite a los usuarios almacenar documentos de identificación y gestionar la clave móvil digital (también conocida como Chave Móvil Digital o CMD). La superposición engaña a los usuarios para que ingresen su número de teléfono y código PIN, probablemente en un esfuerzo por eludir la verificación Conozca a su cliente (KYC).
ThreatFabric dijo que identificó casos en los que los estafadores utilizaron la información capturada a través de estas superposiciones para abrir nuevas cuentas bancarias a nombre de la víctima, lo que les permitió usarlas para lavar dinero o obtener préstamos aprobados sin el conocimiento de la víctima real.
Además, sirve como una herramienta de control remoto completamente funcional, otorgando al operador la capacidad de acceder sigilosamente al dispositivo de la víctima mientras muestra una pantalla negra superpuesta para ocultar la actividad maliciosa. Estas técnicas, realizadas abusando de los servicios de accesibilidad de Android, también se han observado en varios otros banqueros de Android como Crocodilus, Datzbro y Klopatra.
«Sin embargo, algunas aplicaciones implementan protección contra captura de pantalla», explicó la empresa. «Para evitarlo, Massiv utiliza el llamado modo UI-tree: atraviesa las raíces de AccessibilityWindowInfo y procesa recursivamente objetos AccessibilityNodeInfo».
Esto se hace para crear una representación JSON de texto visible y descripciones de contenido, elementos de la interfaz de usuario, coordenadas de pantalla e indicadores de interacción que indican si se puede hacer clic en el elemento de la interfaz de usuario, si se puede editar, enfocar o habilitar. Sólo los nodos que son visibles y tienen texto se exportan al atacante, quien luego puede determinar el siguiente curso de acción emitiendo comandos específicos para interactuar con el dispositivo.
El malware está equipado para llevar a cabo una amplia gama de acciones maliciosas:
- Habilitar superposición negra, silenciar sonidos y vibraciones
- Enviar información del dispositivo
- Realizar acciones de hacer clic y deslizar
- Modificar el portapapeles con texto específico
- Desactivar pantalla negra
- Activar/desactivar la transmisión de pantalla
- Desbloquear dispositivo con patrón
- Ofrecer superposiciones para una aplicación, patrón de bloqueo de dispositivo o PIN
- Descargue un archivo ZIP con superposiciones para aplicaciones específicas
- Descargar e instalar archivos APK
- Abra las pantallas de configuración de Optimización de batería, Administrador de dispositivos y Play Protect
- Solicitud de permisos para acceder a mensajes SMS, instalar paquetes APK,
- Borrar bases de datos de registros en el dispositivo
Massiv se distribuye en forma de aplicaciones cuentagotas que imitan aplicaciones de IPTV mediante phishing por SMS. Una vez instalado y ejecutado, el dropper solicita a la víctima que instale una actualización «importante» otorgándole permisos para instalar software de fuentes externas. Los nombres de los artefactos maliciosos se enumeran a continuación:
- IPTV24 (hfgx.mqfy.fejku) – Cuentagotas
- Google Play (hobfjp.anrxf.cucm) – Massiv
«En la mayoría de los casos observados, se trata simplemente de un enmascaramiento», afirmó ThreatFabric. «Ninguna aplicación de IPTV real fue infectada o inicialmente contenía código malicioso. Por lo general, el dropper que imita una aplicación de IPTV abre un WebView con un sitio web de IPTV, mientras que el malware real ya está instalado y ejecutándose en el dispositivo».
La mayoría de las campañas de malware para Android que utilizan droppers relacionados con la televisión se han dirigido a España, Portugal, Francia y Turquía durante los últimos seis meses.
Massiv es el último participante en un ya saturado panorama de amenazas para Android, lo que refleja la demanda continua de este tipo de soluciones llave en mano entre los ciberdelincuentes.
«Aunque aún no se ha observado que se promocione como Malware-as-a-Service, el operador de Massiv muestra señales claras de seguir este camino, introduciendo claves API para ser utilizadas en la comunicación de malware con el backend», dijo ThreatFabric. «El análisis del código reveló un desarrollo continuo y es probable que se introduzcan más funciones en el futuro».
