Pesquisadores de segurança identificaram uma nova família de malware para Android batizada de Massiv, um trojan bancário capaz de assumir controle total do celular da vítima, realizar transações fraudulentas e até abrir contas em bancos nos quais a vítima jamais teve qualquer relacionamento.
O relatório, publicado pela equipe de Inteligência de Ameaças Móveis (MTI) da empresa ThreatFabric, revela que o malware já está ativo em campanhas direcionadas no sul da Europa, com casos de fraude confirmados. Trojan é um tipo de software malicioso que se disfarça de algo legítimo e útil para enganar a vítima e fazê-la instalá-lo voluntariamente.
- Apesar de o Brasil não ser alvo desta campanha, por aqui, ataques similares também acontecem: Brasil é atacado por malware escondido em apps de IA
O Massiv chega ao celular da vítima disfarçado de aplicativo de IPTV, aqueles serviços que permitem assistir TV ao vivo pela internet. Usuários desse tipo de serviço já estão acostumados a instalar aplicativos fora da loja oficial do Google, o que reduz a desconfiança na hora de aceitar a instalação.
Apps de IPTV fora da Play Store
Aplicativos de IPTV, especialmente os que oferecem canais pagos de forma não autorizada, não podem ser distribuídos pela Google Play Store por questões de direitos autorais. Por isso, seus usuários naturalmente os buscam em sites próprios ou canais do Telegram.
Os criminosos criam sites falsos de apps de IPTV atrativos e distribuíram o malware por lá, sem que a vítima desconfie.
O aplicativo falso realmente funciona como um player de IPTV. Ele abre uma tela de televisão normalmente, carregando conteúdo real de um site de streaming. Enquanto a vítima assiste aos canais, o malware já está instalado e operando silenciosamente em segundo plano.
Os pesquisadores identificaram esse padrão não apenas com o Massiv, mas com um número crescente de amostras de malware nos últimos seis a oito meses, especialmente mirando usuários na Espanha, Portugal, França e Turquia.
Tela falsa por cima do app do banco
Uma das principais técnicas do Massiv é o chamado ataque de overlay, quando o malware detecta que a vítima abriu um aplicativo bancário, ele coloca imediatamente uma tela falsa por cima, idêntica à tela real do banco.
A vítima pensa que está vendo o aplicativo legítimo e digita normalmente login, senha e outros dados. Esses dados, porém, vão diretamente para os criminosos.
Uma campanha específica analisada pelos pesquisadores tinha como alvo o gov.pt, aplicativo oficial do governo português que funciona como uma carteira de identidade digital. O overlay falso pedia o número de telefone e o PIN da vítima.
O objetivo dos criminosos vai além de simplesmente acessar uma conta bancária, já que com esses dados de identidade, eles conseguem burlar o processo de KYC (verificação de identidade exigida por bancos e serviços financeiros para confirmar quem é o cliente) e se passar pela vítima em serviços que ela nunca usou.
O ataque também se conecta à Chave Móvel Digital, sistema de autenticação do governo português que permite acessar serviços públicos e privados, incluindo serviços bancários. Com as credenciais roubadas, os criminosos conseguem autorizar transações bancárias como se fossem a própria vítima.
Três ferramentas de roubo em uma só
Além do overlay, o Massiv combina outras duas técnicas para garantir que nenhum dado escape. O keylogger, um malware espião que registra tudo o que é digitado no celular da vítima, tecla por tecla, capturando senhas mesmo quando o overlay não está ativo.
Já a interceptação de SMS e notificações push captura os códigos de verificação enviados por bancos por mensagem de texto, aqueles números de confirmação que os bancos enviam para garantir que é mesmo o dono da conta quem está acessando. Com esse código em mãos, os criminosos completam o processo de autenticação no lugar da vítima.
Os pesquisadores documentaram casos onde os danos vão além do acesso a contas existentes. Com os dados de identidade roubados, os criminosos abriram novas contas em bancos nos quais a vítima nunca tinha qualquer relação.
Essas contas ficam totalmente sob controle dos fraudadores e são usadas para lavar dinheiro e para contrair empréstimos que são sacados imediatamente. O resultado é que a vítima descobre, muitas vezes sem entender como, que tem dívidas em bancos onde nunca abriu uma conta.
Controle total do celular em tempo real
Tendo roubado as credenciais, o Massiv vai além e entrega ao operador criminoso controle remoto completo do celular da vítima. Isso é feito por meio do AccessibilityService, uma funcionalidade legítima do Android criada para ajudar pessoas com deficiência — ela permite que um aplicativo leia a tela, identifique botões e campos e execute toques no lugar do usuário.
O Massiv abusa dessa funcionalidade para transmitir ao vivo tudo que acontece na tela da vítima e para executar comandos remotos como se fosse ela mesma operando o aparelho.
A comunicação entre o malware e os servidores dos criminosos acontece em tempo real por um canal sempre aberto. Quando um aplicativo bancário bloqueia a captura de tela, proteção que alguns bancos implementam, o Massiv troca de estratégia e começa a ler a estrutura da interface diretamente, identificando cada botão, campo de texto e elemento visível, suas posições e se são clicáveis.
Isso cria um mapa preciso da tela que o operador criminoso usa para navegar e interagir com o celular da vítima mesmo sem ver uma imagem dela.
Malware ainda não é vendido
O relatório aponta que o Massiv ainda é operado de forma privada e não está disponível para aluguel por outros criminosos. No entanto, há sinais claros de que seus desenvolvedores estão se preparando para oferecer o malware como serviço, o que aumentaria exponencialmente o número de vítimas em potencial.
O código do malware ainda está em desenvolvimento ativo, com novas funcionalidades sendo adicionadas continuamente.
Para se proteger, a recomendação dos especialistas é sempre instalar aplicativos exclusivamente pela Google Play Store e desconfiar de qualquer app de IPTV ou serviço de streaming que exija instalação fora dela.