Pesquisadores de segurança identificaram uma nova família de malware para Android chamada Massiv. Trata-se de um trojan bancário — tipo de software malicioso que se disfarça de aplicativo legítimo para enganar a vítima — capaz de assumir controle completo do celular, realizar transferências fraudulentas e até abrir contas bancárias em nome da pessoa infectada.
O alerta foi publicado pela equipe de Inteligência de Ameaças Móveis da ThreatFabric. Segundo o relatório, o Massiv já está ativo em campanhas direcionadas no sul da Europa, com casos de fraude confirmados.
Disfarce de app de IPTV facilita infecção
O Massiv é distribuído como se fosse um aplicativo de IPTV, aqueles serviços que permitem assistir TV ao vivo pela internet. Como muitos desses apps não estão disponíveis na Google Play Store — principalmente os que transmitem conteúdo sem autorização — usuários costumam baixá-los diretamente de sites ou canais no Telegram.
Os criminosos exploram esse hábito criando páginas falsas de IPTV bastante convincentes. O aplicativo malicioso realmente funciona como um player de TV e exibe conteúdo real de streaming. Enquanto a vítima assiste normalmente, o malware já está ativo em segundo plano.
Esse padrão tem sido observado nos últimos seis a oito meses, com foco em usuários da Espanha, Portugal, França e Turquia.
Ataque de “overlay” rouba dados bancários
Uma das principais armas do Massiv é o ataque de overlay. Quando a vítima abre o aplicativo do banco, o malware sobrepõe uma tela falsa idêntica à original. A pessoa acredita que está no app legítimo e digita login, senha e outras informações sensíveis — que são enviadas diretamente aos criminosos.
Em uma das campanhas analisadas, o alvo foi o gov.pt, aplicativo oficial do governo português usado como carteira de identidade digital. O overlay falso solicitava número de telefone e PIN. Com esses dados, os criminosos conseguem driblar o processo de KYC (Know Your Customer, sistema de verificação de identidade exigido por instituições financeiras) e se passar pela vítima em serviços que ela nunca utilizou.
O ataque também envolve a Chave Móvel Digital, sistema português que permite autenticação em serviços públicos e privados, inclusive bancos. Com as credenciais roubadas, os fraudadores autorizam transações como se fossem o próprio usuário.
Três camadas de roubo de dados
O Massiv combina três técnicas para maximizar o roubo de informações. Além do overlay, ele utiliza:
-
Keylogger: registra tudo o que é digitado no aparelho, capturando senhas mesmo fora do app bancário.
-
Interceptação de SMS e notificações: captura códigos de verificação enviados por bancos para confirmar transações.
Com esses códigos em mãos, os criminosos completam a autenticação e finalizam transferências ou empréstimos.
Em alguns casos documentados, os golpistas foram além de invadir contas existentes. Usando dados de identidade roubados, abriram novas contas bancárias em nome da vítima, contrataram empréstimos e movimentaram valores rapidamente. A pessoa só descobre o problema quando surgem dívidas em instituições com as quais nunca teve relação.
Controle remoto total do aparelho
Depois de capturar as credenciais, o Massiv entrega ao operador criminoso controle remoto completo do celular. Isso é feito por meio do AccessibilityService, recurso legítimo do Android criado para auxiliar pessoas com deficiência, permitindo que aplicativos leiam a tela e executem comandos.
O malware abusa dessa função para transmitir em tempo real tudo o que acontece no aparelho e executar ações como se fosse o próprio usuário.
Se o banco bloqueia capturas de tela — proteção comum em apps financeiros — o Massiv muda de estratégia. Ele passa a ler a estrutura da interface do aplicativo, identificando botões, campos de texto e elementos clicáveis. Com esse “mapa” da tela, o criminoso consegue navegar e operar o celular mesmo sem visualizar a imagem diretamente.
Ainda restrito, mas em evolução
Por enquanto, o Massiv não está sendo vendido como serviço para outros grupos criminosos. A operação parece ser privada. No entanto, o relatório aponta sinais de que os desenvolvedores podem transformá-lo em “malware como serviço”, modelo que permitiria escalar os ataques rapidamente.
O código segue em desenvolvimento ativo, com novas funcionalidades sendo adicionadas. Isso indica que o Massiv pode se tornar ainda mais sofisticado — e perigoso — nos próximos meses.
