Apps falsos de IPTV distribuem trojan Android Massiv contra usuários de bancos móveis

O malware se passa por aplicativos de TV online, usa phishing por SMS e abusa de permissões do Android para roubo de credenciais, interceptação de SMS e controle remoto do dispositivo.

Componente	Trojan Android Massiv, distribuído por aplicativos dropper que imitam serviços de IPTV.
Vetor	Phishing por SMS leva a vítima a instalar um aplicativo falso; após a abertura, o dropper solicita a instalação de uma atualização supostamente importante a partir de fontes externas.
Impacto	Controle remoto do dispositivo, sobreposição falsa em aplicativos bancários e financeiros, keylogging, streaming de tela, interceptação de SMS e possível fraude financeira por device takeover.
Prioridade	Bloquear instalação de APKs fora de lojas confiáveis, revisar abuso de serviços de acessibilidade, monitorar overlays em aplicativos financeiros e investigar dispositivos que receberam apps falsos de IPTV.
Regiões observadas	Campanhas citadas envolveram usuários em Portugal e Grécia; droppers com tema de TV também foram associados a alvos em Espanha, Portugal, França e Turquia nos seis meses anteriores.
Aplicativo visado	Uma campanha mirou o gov.pt, aplicativo português usado para documentos de identificação e gestão da Chave Móvel Digital.

Resumo técnico

Massiv é um trojan bancário para Android desenhado para ataques de tomada de dispositivo contra usuários de mobile banking. A campanha descrita usa aplicativos falsos de IPTV como isca, explorando o interesse de vítimas por serviços de TV online. O aplicativo inicial funciona como dropper: ele aparenta oferecer acesso a conteúdo de IPTV, mas conduz a vítima a autorizar a instalação de uma atualização apresentada como necessária. Essa etapa desloca a execução para fora do fluxo normal de instalação confiável e permite que o malware obtenha espaço operacional no dispositivo.

Depois de instalado, Massiv combina técnicas comuns em famílias bancárias Android com recursos de controle remoto. O conjunto inclui streaming de tela por meio da API MediaProjection, keylogging, interceptação de mensagens SMS e overlays falsos posicionados sobre aplicativos bancários e financeiros. Esses overlays coletam credenciais, dados de cartão e, em campanhas específicas, informações usadas para contornar processos de validação de identidade. O risco principal não é apenas o roubo isolado de senha, mas a possibilidade de o operador manipular a sessão no próprio dispositivo da vítima enquanto a atividade maliciosa fica visualmente ocultada.

Fluxo técnico

A cadeia começa com phishing por SMS direcionando a vítima para um aplicativo que imita IPTV. O material analisado indica que, na maioria dos casos observados, não houve comprometimento de aplicativos legítimos de IPTV: o artefato apenas se passa por esse tipo de serviço e pode abrir um WebView com um site de IPTV para sustentar a aparência de legitimidade. Enquanto isso, o malware real já foi instalado ou iniciado no aparelho, criando uma separação entre a experiência visível ao usuário e a execução maliciosa em segundo plano.

Após a abertura do dropper, a vítima é induzida a conceder permissão para instalar software de fontes externas sob o pretexto de uma atualização importante. O malware também tenta obter permissões sensíveis relacionadas a SMS, instalação de pacotes, administração do dispositivo, otimização de bateria e configurações do Play Protect. Esses pedidos são relevantes para defesa porque indicam uma tentativa de aumentar persistência, reduzir interferência do sistema e habilitar capacidades úteis para fraude financeira, como interceptação de códigos recebidos por mensagem e interação remota com telas protegidas.

O controle remoto usa abuso de serviços de acessibilidade para observar e manipular a interface. Quando aplicativos implementam proteção contra captura de tela, Massiv recorre a um modo baseado na árvore de interface. Nesse modo, o malware percorre objetos AccessibilityWindowInfo e processa recursivamente objetos AccessibilityNodeInfo, criando uma representação em JSON de textos visíveis, descrições de conteúdo, coordenadas de tela e flags de interação, como elementos clicáveis, editáveis, focados ou habilitados. Somente nós visíveis com texto são exportados ao operador, que pode decidir a próxima ação sem depender exclusivamente de captura de imagem.

Uma campanha citada mirou o aplicativo gov.pt, usado em Portugal para armazenar documentos de identificação e gerenciar a Chave Móvel Digital. O overlay exibido sobre esse fluxo pedia número de telefone e PIN, o que indica tentativa de obter material útil para validação de identidade. Também foram descritos casos em que dados obtidos por overlays foram usados por fraudadores para abrir contas bancárias em nome da vítima, com finalidade associada a lavagem de dinheiro ou obtenção de crédito sem conhecimento do titular real.

Superfície afetada

A superfície exposta é composta principalmente por dispositivos Android cujos usuários instalam APKs fora de canais confiáveis após interação com phishing por SMS. O tema de IPTV reduz a barreira psicológica para instalação porque promete uma função de entretenimento aparentemente simples, mas a execução real depende da concessão de permissões perigosas. Ambientes corporativos com política permissiva de sideload, dispositivos pessoais usados para acesso bancário e aparelhos sem controle de integridade ficam mais vulneráveis a esse tipo de campanha.

O impacto técnico se concentra em aplicativos financeiros, fluxos de identidade digital e mensagens SMS usadas como fator ou canal auxiliar de autenticação. Aplicativos bancários podem ser alvo de overlays para captura de credenciais e cartões; aplicativos de governo digital podem ser explorados para coletar dados necessários à verificação de identidade; e mensagens SMS podem ser lidas para apoiar fraude transacional. O contexto não confirma uma exploração de vulnerabilidade no Android ou em bancos específicos, portanto a ameaça deve ser tratada como engenharia social combinada com abuso de permissões e automação da interface.

Dispositivos Android que receberam aplicativos falsos de IPTV por phishing por SMS.
Usuários de mobile banking expostos a overlays falsos e controle remoto do aparelho.
Fluxos de identidade digital, incluindo o gov.pt e a Chave Móvel Digital, quando usados em campanhas específicas.
Ambientes que permitem instalação de APKs de fontes externas sem inspeção ou política de bloqueio.

Hunting e telemetria

A investigação deve começar pela linha do tempo de instalação de aplicativos fora da loja oficial, especialmente quando houver relação com mensagens SMS recentes, páginas de IPTV ou pedidos de atualização dentro de um aplicativo recém-instalado. Em EDR móvel, MDM ou telemetria do Android, sinais relevantes incluem solicitações incomuns de serviços de acessibilidade, leitura de SMS, permissão para instalar pacotes, tentativa de ignorar otimização de bateria e abertura de telas de configuração de administrador do dispositivo ou Play Protect logo após a instalação.

No endpoint, a defesa deve correlacionar uso de MediaProjection, criação de overlays sobre aplicativos financeiros e atividade de acessibilidade fora do padrão esperado. Em transações suspeitas, a presença de tela preta durante interação remota, eventos de clique automatizados, campos preenchidos sem comportamento normal do usuário e leitura de elementos de interface podem indicar tomada de dispositivo. Em bancos e provedores de identidade, a telemetria de risco deve considerar dispositivos recém-infectados, mudança de comportamento de sessão, cadastro de novas contas em nome da vítima e tentativas de validação com dados coletados em overlays.

Como o contexto menciona API keys na comunicação com backend e sinais de evolução para um modelo de serviço, a caça deve incluir padrões de comunicação anômalos do aplicativo instalado, sem publicar ou depender de uma lista extensa de indicadores. A abordagem mais robusta é combinar reputação do pacote, origem de instalação, permissões solicitadas, sequência de telas acessadas e comportamento de rede. Indicadores de infraestrutura, quando encontrados internamente, devem ser tratados de forma defangada e compartilhados apenas em canais defensivos apropriados.

Instalação recente de APK com tema de IPTV seguida por pedido de atualização externa.
Concessão de acessibilidade, leitura de SMS, instalação de pacotes e exclusão de otimização de bateria em sequência curta.
Uso de MediaProjection ou modo baseado em árvore de interface por aplicativo sem justificativa legítima.
Overlays exibidos sobre aplicativos bancários, financeiros ou de identidade digital.
Sessões bancárias com interação automatizada, tela ocultada ao usuário ou mudanças transacionais incompatíveis com o histórico do dispositivo.

Mitigação

A resposta deve priorizar contenção do dispositivo e proteção das contas financeiras associadas. Quando houver suspeita de Massiv ou de dropper falso de IPTV, o aparelho deve ser isolado de sessões bancárias, removido de fluxos de autenticação e avaliado por equipe técnica antes de voltar a ser usado para transações. A simples troca de senha pode ser insuficiente se o malware continuar ativo, porque o operador pode capturar novas credenciais, interceptar SMS ou manipular a interface durante a sessão.

Em ambientes gerenciados, a mitigação passa por bloquear instalação de fontes externas, restringir serviços de acessibilidade a aplicativos aprovados, alertar sobre uso indevido de MediaProjection e impedir que aplicativos recém-instalados obtenham permissões sensíveis sem revisão. Em instituições financeiras e provedores de identidade, controles antifraude devem elevar o risco de sessões vindas de dispositivos com comportamento de overlay, automação de UI ou mudança recente de integridade. Para usuários afetados, a ação defensiva deve incluir revogação de sessões, troca de credenciais em dispositivo limpo, revisão de contas abertas indevidamente, contestação de transações suspeitas e acompanhamento de solicitações de crédito não reconhecidas.

Bloquear sideload de APKs e aplicar política de instalação somente por lojas e catálogos confiáveis.
Auditar aplicativos com acesso a SMS, acessibilidade, instalação de pacotes, administração do dispositivo e otimização de bateria desativada.
Remover o aplicativo suspeito somente dentro de um processo controlado de resposta, preservando evidências quando necessário.
Revogar sessões bancárias e de identidade digital associadas ao aparelho suspeito.
Reforçar detecção de overlays, controle remoto e interação automatizada em aplicativos financeiros e fluxos de KYC.

Apps falsos de IPTV distribuem trojan Android Massiv contra usuários de bancos móveis

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Apps falsos de IPTV distribuem trojan Android Massiv contra usuários de bancos móveis

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato