Logiciel malveillant mobile massif

Des analystes en cybersécurité ont découvert un cheval de Troie bancaire Android sophistiqué, baptisé Massiv, conçu pour exécuter des attaques de prise de contrôle d'appareil (DTO) visant à commettre des vols financiers. Ce logiciel malveillant se fait passer pour une application IPTV légitime et cible les personnes recherchant des services de télévision en ligne.

Bien qu'identifiée dans un nombre limité de campagnes ciblées, la menace est importante. Une fois installée, Massiv permet aux attaquants de contrôler à distance les appareils compromis, d'effectuer des transactions frauduleuses et d'exploiter directement les comptes bancaires mobiles des victimes.

Le logiciel malveillant a été initialement détecté lors de campagnes ciblant des utilisateurs au Portugal et en Grèce au début de cette année. Cependant, l'analyse forensique a permis de remonter jusqu'à des variantes datant du début de l'année 2025, ce qui suggère des opérations de test antérieures à plus petite échelle.

Collecte avancée d’identifiants et manipulation de superposition

Massiv intègre des fonctionnalités couramment utilisées dans les logiciels malveillants bancaires Android sophistiqués. Il facilite le vol d'identifiants grâce à de multiples techniques, notamment la diffusion d'écran via l'API MediaProjection d'Android, l'enregistrement des frappes au clavier, l'interception des SMS et l'affichage de superpositions trompeuses sur des applications bancaires et financières légitimes. Ces superpositions incitent les utilisateurs à saisir leurs identifiants de connexion et leurs informations de carte bancaire.

Une campagne notable a ciblé spécifiquement gov.pt, une application gouvernementale portugaise utilisée pour stocker les documents d'identité et gérer la Clé Mobile Numérique (Chave Móvel Digital ou CMD). L'interface malveillante usurpait l'identité de l'application officielle et demandait les numéros de téléphone et les codes PIN des utilisateurs, probablement pour contourner les procédures de vérification d'identité (KYC).

Les enquêtes ont également révélé des cas où des données volées ont été utilisées pour ouvrir de nouveaux comptes bancaires au nom des victimes. Ces comptes frauduleux ont ensuite servi à des opérations de blanchiment d'argent ou à des demandes de prêt non autorisées, à l'insu des victimes.

Capacités de contrôle à distance et protection contre la capture d’écran

Outre le vol d'identifiants, Massiv fonctionne comme un outil d'accès à distance pleinement fonctionnel. Il permet aux attaquants de contrôler discrètement les appareils infectés tout en affichant un écran noir pour masquer toute activité malveillante. Ces techniques exploitent les services d'accessibilité d'Android, une tactique également observée dans d'autres chevaux de Troie bancaires tels que Crocodilus, Datzbro et Klopatra.

Certaines applications financières intègrent des mécanismes de protection contre la capture d'écran. Pour contourner ces protections, Massiv utilise une technique appelée « mode arborescent d'interface utilisateur ». Cette méthode parcourt les racines AccessibilityWindowInfo et traite récursivement les objets AccessibilityNodeInfo afin de reconstruire une représentation détaillée de l'interface visible de l'appareil.

Le logiciel malveillant génère une carte JSON structurée contenant le texte visible, les descriptions de contenu, les éléments d'interface utilisateur, les coordonnées à l'écran et des indicateurs d'interaction précisant si les éléments sont cliquables, modifiables, sélectionnés ou activés. Seuls les nœuds visibles contenant du texte sont transmis à l'infrastructure de commande de l'attaquant, permettant une interaction à distance précise via des commandes.

Fonctionnalités malveillantes complètes

Massiv est doté d'une vaste boîte à outils opérationnelle permettant une manipulation et une persistance étendues des appareils. Ses fonctionnalités incluent :

• Activation ou désactivation d'un écran noir superposé, coupure du son et des vibrations
• Diffusion en continu de l'écran de l'appareil et envoi d'informations sur l'appareil
• Effectuer des clics et des glissements à distance
• Modification du contenu du presse-papiers
• Déverrouillage de l'appareil à l'aide d'une authentification par schéma
• Déploiement de superpositions pour des applications ou des écrans de verrouillage ciblés
• Téléchargement des packages de superposition et installation des fichiers APK supplémentaires
• Ouvrir les paramètres système tels que l'optimisation de la batterie, l'administrateur de l'appareil et Play Protect
• Demande d'autorisation pour l'envoi de SMS et l'installation de packages
• Effacement des bases de données journaux des périphériques

Ces fonctions permettent collectivement aux attaquants de garder le contrôle, d'échapper à la détection et d'exécuter des fraudes financières avec précision.

Tactiques de distribution : Droppers sur le thème de l’IPTV

Massiv se propage par le biais de campagnes d'hameçonnage par SMS utilisant des applications tierces imitant des services IPTV. Après installation, ces applications invitent la victime à installer une mise à jour « importante » et demandent l'autorisation d'installer des applications provenant de sources externes.

Les artefacts malveillants identifiés comprennent :

• IPTV24 (hfgx.mqfy.fejku) – Application Dropper
• Google Play (hobfjp.anrxf.cucm) – Massiv payload

Dans la plupart des cas documentés, les applications IPTV légitimes n'ont pas été compromises. Le programme d'installation se contentait d'afficher du contenu web lié à l'IPTV via une WebView, créant ainsi l'illusion d'un fonctionnement normal pendant que le logiciel malveillant s'exécutait en arrière-plan.

Au cours des six derniers mois, des campagnes publicitaires similaires, s'inspirant de la télévision, ont principalement ciblé l'Espagne, le Portugal, la France et la Turquie.

Indicateurs de commercialisation et de développement en cours

Massiv arrive sur un écosystème de logiciels malveillants Android déjà saturé, soulignant la demande persistante de solutions clés en main pour la lutte contre la fraude financière au sein des communautés cybercriminelles.

Bien que cela ne soit pas encore confirmé comme une offre de type « malware-as-a-service », l'analyse indique une évolution dans ce sens. L'introduction de clés API pour la communication avec le serveur suggère une volonté de standardiser les opérations et d'ouvrir potentiellement la voie à une utilisation par des tiers. L'examen du code révèle par ailleurs un développement actif, laissant présager l'apparition de fonctionnalités supplémentaires et de capacités étendues dans les versions ultérieures.