Massiv – tak nazwali go specjaliści od bezpieczeństwa z Threat Fabric. Brzmi jak nazwa zespołu metalowego, ale to nowy trojan bankowy dla Androida, który nie tylko podszywa się pod aplikacje IPTV – on potrafi przejąć urządzenie i wyciągnąć z niego pieniądze. I robi to sprytnie, jak zawodowy oszust z przeszłością w teatrze jednego aktora.

Fałszywe streamy, prawdziwe straty

Atak zaczyna się banalnie – atrakcyjna aplikacja do oglądania telewizji online. Ofiara instaluje APK z zewnętrznego źródła – bo w sklepie oficjalnym nie ma danego cudownego klienta. Potem przychodzą prośby o uprawnienia – normalne, prawda? Tylko że tutaj uprawnienia otwierają drzwi do przejęcia kontroli nad ekranem, czytania SMS-ów i nadzorowania tego, co klikasz w aplikacjach bankowych. Massiv nie jest wariacją znanych rodzin – Threat Fabric opisuje go jako nową rodzinę Device Takeover. To oznacza, że autorzy zbudowali coś od podstaw, a to zawsze alarmuje.

Pod maską dzieje się magia

Technicznie Massiv korzysta z kilku dobrze znanych tricków – overlaye, usługa dostępności (accessibility), przechwytywanie SMS-ów – ale scala je w scenariusz, który działa na żywych ludzkich odruchach. Gdy aplikacja bankowa zostanie uruchomiona, malware może wyświetlić fałszywy interfejs na wierzchu – wygląda jak oryginał, żąda OTP, przekierowuje transakcję. Jeśli przy tym czyta SMS-y, ma wszystko, czego trzeba do zatwierdzenia przelewu. Nie jest to film science-fiction – to schemat znany z innych ataków, tylko tutaj wykonanie jest dopracowane i szybkie.

Jak to rozpoznać — proste sygnały

• Nietypowe uprawnienia – aplikacja streamingowa prosząca o dostęp do usług dostępności to czerwony alarm.
• Natarczywe okienka na ekranie – overlaye, które przesłaniają aplikacje bankowe.
• Wzmożone zużycie baterii i transferu danych – procesy działające w tle potrafią być głośne.
• Dziwne SMS-y i powiadomienia z banku o transakcjach, których nie wykonywałeś.
• Nowe aplikacje w systemie, których nie pamiętasz, że instalowałeś – zwłaszcza te z dziwnymi ikonami.

Co zrobić, gdy coś śmierdzi

• Odłącz telefon od sieci – wyłącz Wi‑Fi i dane komórkowe, żeby zatrzymać komunikację z serwerami atakujących.
• Sprawdź uprawnienia – natychmiast cofnij dostęp do usług dostępności dla podejrzanych aplikacji.
• Usuń aplikację – jeśli nie da się usunąć, uruchom telefon w trybie awaryjnym i spróbuj wtedy.
• Zmień hasła i kody dostępu – najlepiej z innego, bezpiecznego urządzenia.
• Skontaktuj się z bankiem – zablokuj karty i monitoruj konto pod kątem nieautoryzowanych transakcji.
• Jeśli sytuacja jest poważna – zrób pełny reset do ustawień fabrycznych i przywróć kopię tylko po upewnieniu się, że jest czysta.

Telefon jak portfel — pilnuj go

Nie ma jednego dramatu, który to wszystko załatwi – są drobne nawyki. Instaluj aplikacje tylko ze sprawdzonych źródeł, patrz uważnie na uprawnienia – i traktuj telefon jak portfel, bo nim jest. Kilka sekund dodatkowej ostrożności i odrobina nieufności wobec „cudownych” APK wystarczą, żeby nie zostać bohaterem historii, której finałem jest wizyta w banku i długie tłumaczenia.