Selon l’équipe Mobile Threat Intelligence (MTI), une nouvelle famille de malware Android baptisée « Massiv » a été observée dans des campagnes ciblées, principalement en Europe, se faisant passer pour des applications IPTV afin de prendre le contrôle des appareils et mener des fraudes bancaires.

• Nature de la menace. Massiv est un trojan bancaire Android axé Device Takeover (DTO), sans liens directs avec des menaces connues. Il combine overlays, keylogging, interception SMS/Push et un contrôle à distance complet de l’appareil, avec un C2 en WebSocket et opérations en screen streaming (MediaProjection) ou en mode UI-tree (traversée Accessibility pour contourner les protections anti-capture).

• Vecteur et ciblage. Les opérateurs diffusent Massiv en le déguisant en applications IPTV (hors Play Store), s’appuyant sur l’habitude des utilisateurs à sideload ce type d’apps via sites ou canaux Telegram. Des campagnes ont visé l’Europe (Espagne, Portugal, France, Turquie), avec des cas de fraude confirmés. Un overlay a notamment ciblé l’app gouvernementale portugaise gov.pt et le service Chave Móvel Digital pour récupérer numéro de téléphone et PIN et faciliter des bypasses KYC et des accès à la banque en ligne.

• Capacités de prise de contrôle. Via une classe FuncVNC basée sur AccessibilityService, l’opérateur observe et manipule l’interface en quasi temps réel. Le mode UI-tree exporte un modèle JSON (textes visibles, classes, coordonnées, flags d’interaction) pour interagir avec les éléments sans capture d’écran, contournant les protections d’apps sensibles. Une riche liste de commandes permet clics/swipes, overlays factices (y compris PIN/pattern lock), gestion de presse-papiers/fichiers, installation d’APK, déverrouillage par schéma, écrans noirs, requêtes d’autorisations (admin, SMS, notifications, installation, Play Protect, etc.).

• Impact observé. MTI a identifié des transactions frauduleuses et l’ouverture de nouveaux comptes au nom des victimes, réutilisés pour blanchiment, prêts et cash-out, laissant des dettes aux victimes. La campagne met en avant la tendance croissante à utiliser le leurre IPTV pour la distribution de malwares mobiles, bien que les « fausses mises à jour de navigateur » restent le leurre le plus fréquent.

• Évolution. Massiv montre des signes d’industrialisation (p. ex. clés API dans les communications backend) et un développement actif. Non proposé comme Malware-as-a-Service au moment de l’analyse, il pourrait évoluer en ce sens, ou rester opéré en petites campagnes ciblées afin de limiter la détection. Il s’agit d’une analyse de menace visant à documenter les capacités, la distribution et l’impact de Massiv.

IoCs (extraits)

  • SHA-256: 54d4cb45fb7a18780ff2ccc7314b9b51ae446c58a179abbf9e62ce0c28539e8e — Package: hobfjp.anrxf.cucm (Google Play payload)
  • SHA-256: f9a52a923989353deb55136830070554db40f544be5a43534273126060f8c1f6 — Package: hfgx.mqfy.fejku (IPTV24 Dropper)

TTPs observés

  • Déguisement en applications IPTV distribuées hors Play Store (sideload) 🎭
  • Overlay d’apps ciblées (dont gov.pt), keylogging, interception SMS/Push
  • Contrôle à distance via AccessibilityService (classe FuncVNC), C2 WebSocket
  • Screen streaming (MediaProjection) et UI-tree mode pour contourner l’anti-capture
  • Automatisation/Actions: clics/swipes, écran noir, gestion fichiers, installation APK, déverrouillage par schéma, overlays PIN/pattern, requêtes d’autorisations système (admin, SMS, notifications, install, Play Protect, MIUI Autostart, etc.)

🧠 TTPs et IOCs détectés

TTP

[‘Déguisement en applications IPTV distribuées hors Play Store (sideload)’, ‘Overlay d’apps ciblées (dont gov.pt)’, ‘Keylogging’, ‘Interception SMS/Push’, ‘Contrôle à distance via AccessibilityService (classe FuncVNC)’, ‘C2 WebSocket’, ‘Screen streaming (MediaProjection)’, ‘UI-tree mode pour contourner l’anti-capture’, ‘Automatisation/Actions: clics/swipes, écran noir, gestion fichiers, installation APK, déverrouillage par schéma, overlays PIN/pattern’, ‘Requêtes d’autorisations système (admin, SMS, notifications, install, Play Protect, MIUI Autostart, etc.)’]

IOC

[‘SHA-256: 54d4cb45fb7a18780ff2ccc7314b9b51ae446c58a179abbf9e62ce0c28539e8e’, ‘SHA-256: f9a52a923989353deb55136830070554db40f544be5a43534273126060f8c1f6’]

🔗 Source originale : https://www.threatfabric.com/blogs/massiv-when-your-iptv-app-terminates-your-savings