- Το Massiv εμφανίζεται ως IPTV εφαρμογή, αλλά στην πραγματικότητα είναι banking trojan που στοχεύει Android συσκευές.
- Χρησιμοποιεί screen overlays και keylogging, ενώ εκμεταλλεύεται και την Accessibility Service για εξαγωγή δεδομένων.
- Στοχεύει κυρίως χρήστες στην Πορτογαλία, με στόχο στοιχεία από κρατική εφαρμογή και το Chave Móvel Digital.
Αν ψάχνετε μια νέα IPTV εφαρμογή, βεβαιωθείτε ότι δεν θα εγκαταστήσετε το Massiv, γιατί είναι απλώς ένας τραπεζικός δούρειος ίππος που προσποιείται ότι είναι νόμιμο IPTV app.
Οι ερευνητές ασφαλείας της ThreatFabric εντόπισαν πρόσφατα την απάτη και ανέφεραν ότι το Massiv χρησιμοποιεί επικαλύψεις οθόνης (screen overlays) και καταγραφή πληκτρολόγησης (keylogging).
Στοχεύει κυρίως χρήστες στην Πορτογαλία και «κυνηγά» πληροφορίες από δύο σημαντικές εφαρμογές, δηλαδή μια κρατική εφαρμογή και ένα σύστημα ψηφιακής υπογραφής και ταυτοποίησης με το οποίο συνδέεται, που ονομάζεται Chave Móvel Digital.
Εφαρμογές IPTV από ανεπίσημες πηγές αυξάνουν το ρίσκο, γιατί συχνά διανέμονται ως APK χωρίς τους ελέγχους ενός επίσημου store.
Ψεύτικες IPTV εφαρμογές: γιατί αυξάνονται
Σύμφωνα με την ThreatFabric, οι IPTV εφαρμογές χρησιμοποιούνται όλο και περισσότερο ως «δόλωμα» για Android malware.
Επειδή αυτές οι εφαρμογές συνδέονται συχνά με παραβίαση πνευματικών δικαιωμάτων, είναι δύσκολο να τις βρει κανείς στο Google Play, οπότε οι χρήστες στρέφονται σε ανεπίσημα κανάλια.
Αυτό δίνει στους επιτιθέμενους αρκετό «χώρο» για να διανείμουν κακόβουλα πακέτα, ενώ σε πολλές περιπτώσεις η IPTV εφαρμογή είναι εντελώς ψεύτικη και δεν προσφέρει πρόσβαση σε πειρατικές μεταδόσεις.
Οι καμπάνιες με «IPTV δολώματα» βασίζονται συχνά σε διαφημίσεις, groups και download pages, όπου το APK αλλάζει συχνά για να αποφεύγει μπλοκαρίσματα.
Πως λειτουργεί το Massiv μέσα στη συσκευή
Οι εγκληματίες μπορούν να χρησιμοποιήσουν το Massiv με δύο βασικούς τρόπους, ανάλογα με το τι τους εξυπηρετεί περισσότερο.
Ο πρώτος τρόπος είναι να κάνουν ζωντανή μετάδοση (live stream) όσων συμβαίνουν στη συσκευή του θύματος, ώστε να βλέπουν σε πραγματικό χρόνο οθόνες και κινήσεις.
Ο δεύτερος τρόπος είναι να εξάγουν δομημένα δεδομένα από την Accessibility Service, όπως ορατό κείμενο, ονόματα στοιχείων του interface, συντεταγμένες οθόνης και χαρακτηριστικά αλληλεπίδρασης.
Οι ερευνητές επισημαίνουν ότι ο δεύτερος τρόπος είναι ιδιαίτερα χρήσιμος, γιατί παρακάμπτει προστασίες screen-capture που είναι συνηθισμένες σε τραπεζικές και επικοινωνιακές εφαρμογές.
Αν μια «τηλεοπτική» εφαρμογή ζητά Accessibility ή «πλήρη έλεγχο συσκευής», αντιμετωπίστε το ως ισχυρό σημάδι κινδύνου.
Τι κάνουν οι επιτιθέμενοι με τα κλεμμένα δεδομένα
Μόλις οι δράστες αποκτήσουν τα δεδομένα που χρειάζονται, τα αξιοποιούν για να ανοίξουν τραπεζικούς λογαριασμούς στο όνομα των θυμάτων.
Αυτό τους επιτρέπει να κάνουν ξέπλυμα χρήματος, να πάρουν δάνεια ή να «σηκώσουν» χρήματα, αφήνοντας το θύμα με χρέη και προβλήματα σε υπηρεσίες που δεν χρησιμοποίησε ποτέ.
«Η έρευνα του MTI εντόπισε περιπτώσεις όπου ανοίχτηκαν νέοι λογαριασμοί στο όνομα του θύματος (χρήστη της μολυσμένης συσκευής) σε νέες τράπεζες και υπηρεσίες (που δεν χρησιμοποιούσε το θύμα)», ανέφερε η ThreatFabric στην αναφορά της.
«Επειδή αυτοί οι λογαριασμοί είναι πλήρως υπό τον έλεγχο του απατεώνα, μπορούν να χρησιμοποιηθούν ως μέρος ενός σχήματος ξεπλύματος χρήματος, καθώς και για λήψη δανείων και ανάληψη χρημάτων, αφήνοντας το ανυποψίαστο θύμα με χρέη σε τράπεζα στην οποία δεν άνοιξε ποτέ λογαριασμό», πρόσθεσε.
Πίνακας: σύνοψη τεχνικών και επιπτώσεων
| Στοιχείο | Τι κάνει το Massiv | Πιθανή συνέπεια |
|---|---|---|
| Screen overlays | Εμφανίζει επικαλύψεις για να «μιμείται» οθόνες login ή να κρύβει πραγματικές ενέργειες. | Υποκλοπή κωδικών και παραπλάνηση μέσα σε κρίσιμες εφαρμογές. |
| Keylogging | Καταγράφει πληκτρολογήσεις και εισαγωγές πεδίων. | Κλοπή διαπιστευτηρίων, PIN και στοιχείων ταυτοποίησης. |
| Accessibility data extraction | Εξάγει δομημένα στοιχεία UI, κείμενα και αλληλεπιδράσεις. | Παράκαμψη προστασιών screenshot και ακριβέστερη αυτοματοποίηση απάτης. |
| Στοχευμένες εφαρμογές | Εστιάζει σε κρατική εφαρμογή και στο Chave Móvel Digital. | Κατάχρηση ταυτοποίησης και άνοιγμα λογαριασμών στο όνομα του θύματος. |
Τι να προσέξετε πριν εγκαταστήσετε IPTV εφαρμογή
Το βασικό πρόβλημα με τις IPTV «λύσεις» είναι ότι συχνά φτάνουν στον χρήστη από ανεπίσημα κανάλια, όπου η προέλευση και οι ενημερώσεις δεν ελέγχονται επαρκώς.
Γι’ αυτό αξίζει να κάνετε έναν γρήγορο έλεγχο ρίσκου, πριν δώσετε πρόσβαση σε μια εφαρμογή που μπορεί να αποκτήσει υψηλά δικαιώματα.
- Ελέγξτε αν ο developer έχει σαφή ταυτότητα, ιστοσελίδα και πολιτική απορρήτου.
- Αποφύγετε APK που ζητούν Accessibility, SMS ή δυνατότητες «διαχειριστή συσκευής».
- Διαβάστε τις άδειες και αναρωτηθείτε αν ταιριάζουν με τη λειτουργία «τηλεόρασης».
Τι να κάνετε αν υποψιάζεστε μόλυνση (πρακτικά βήματα)
Αν εγκαταστήσατε πρόσφατα μια ύποπτη εφαρμογή και παρατηρήσατε περίεργες οθόνες, άγνωστες ειδοποιήσεις ή αλλαγές σε δικαιώματα, κινηθείτε γρήγορα και οργανωμένα.
- Αποσυνδέστε τη συσκευή από δίκτυα και ενεργοποιήστε λειτουργία πτήσης, ώστε να μειώσετε τη συνεχή επικοινωνία με servers.
- Απενεργοποιήστε άμεσα την Accessibility για άγνωστες εφαρμογές και ελέγξτε τις «Εφαρμογές με πρόσβαση».
- Απεγκαταστήστε την ύποπτη εφαρμογή και εκτελέστε έλεγχο με αξιόπιστο εργαλείο ασφαλείας.
- Αλλάξτε κωδικούς από άλλη συσκευή και ενημερώστε την τράπεζα αν υπάρχει υποψία πρόσβασης.
Συμβουλές προστασίας
Η κατάχρηση της Accessibility Service είναι από τις πιο επικίνδυνες τάσεις στο Android, γιατί σχεδιάστηκε για βοήθεια σε χρήστες με ανάγκες προσβασιμότητας, αλλά δίνει «οπτική» και έλεγχο πάνω στο UI.
Όταν μια εφαρμογή αποκτήσει τέτοια πρόσβαση, μπορεί να παρατηρεί κείμενα, να ανιχνεύει κουμπιά και να καθοδηγεί ενέργειες, χωρίς να χρειάζεται κλασική καταγραφή οθόνης που μπλοκάρεται από πολλές τράπεζες.
Για πρακτική άμυνα, φτιάξτε μια μικρή ρουτίνα ελέγχου ρυθμίσεων μία φορά τον μήνα, ειδικά αν κάνετε εγκαταστάσεις εκτός Play Store.
Μπείτε στις ρυθμίσεις και εντοπίστε τις επιλογές Accessibility, Εφαρμογές με ειδική πρόσβαση και Εμφάνιση πάνω από άλλες εφαρμογές, γιατί εκεί κρύβονται τα «βαριά» δικαιώματα που αγαπούν τα trojans.
Αν δείτε εφαρμογή που δεν αναγνωρίζετε να έχει τέτοιες άδειες, αφαιρέστε τες άμεσα και αξιολογήστε αν πρέπει να γίνει πλήρης επαναφορά συσκευής.
Για όσους χρησιμοποιούν τραπεζικές εφαρμογές ή κρατικά συστήματα ταυτοποίησης, αξίζει να ενεργοποιούν ισχυρή πολυπαραγοντική ταυτοποίηση όπου είναι διαθέσιμη, καθώς και ειδοποιήσεις συναλλαγών σε πραγματικό χρόνο.
Αν οι επιτιθέμενοι προσπαθήσουν να ανοίξουν νέο λογαριασμό στο όνομά σας, οι ειδοποιήσεις και τα όρια συναλλαγών μπορούν να μειώσουν τη ζημιά πριν αυτή «δέσει».
Επιπλέον, προτιμήστε να κατεβάζετε εφαρμογές μόνο από επίσημα stores και να αποφεύγετε «πακέτα IPTV» που μοιράζονται σε forums, επειδή συχνά επανασυσκευάζονται με διαφορετικό κακόβουλο φορτίο.
Αν είναι απαραίτητο το sideloading, κατεβάστε το APK μόνο από πηγή που εμπιστεύεστε, ελέγξτε την αξιοπιστία της και μην αποδέχεστε ποτέ δικαιώματα που δεν σχετίζονται με streaming.
Σε επίπεδο οργανισμών, ένα βασικό μέτρο είναι η πολιτική που απαγορεύει εγκαταστάσεις από άγνωστες πηγές και η χρήση MDM, ώστε να μπλοκάρονται μαζικά άδειες τύπου Accessibility σε μη εγκεκριμένες εφαρμογές.
Τέλος, αν πέσετε θύμα, κρατήστε τεκμηρίωση, όπως ονόματα εφαρμογών και timestamps, και κάντε άμεσα επικοινωνία με τράπεζα και αρμόδιες αρχές, γιατί η γρήγορη αναφορά συχνά περιορίζει δάνεια και χρεώσεις που χτίζονται χωρίς να το καταλάβετε.
Πίνακας: γρήγορος έλεγχος «κόκκινων σημαιών» για IPTV apps
| Κόκκινη σημαία | Γιατί είναι ύποπτη | Τι κάνετε |
|---|---|---|
| Ζητά Accessibility | Μπορεί να διαβάζει UI και να αυτοματοποιεί απάτες χωρίς screenshots. | Μην το επιτρέψετε και διαγράψτε την εφαρμογή. |
| Ζητά «εμφάνιση πάνω από άλλες εφαρμογές» | Επιτρέπει overlays που μιμούνται οθόνες login. | Αρνηθείτε την άδεια και προτιμήστε άλλο app. |
| APK από άγνωστο site | Δεν υπάρχουν εγγυήσεις για υπογραφές και ακεραιότητα. | Αποφύγετε την εγκατάσταση και αναζητήστε επίσημη εναλλακτική. |
