Copia perfecta del banco en pantalla → contraseña robada → un préstamo nuevo en tu cuenta: conoce al troyano Massiv

En Android ha resurgido un nuevo troyano bancario que está diseñado para un mismo escenario: hacer que la persona instale una aplicación fuera de la tienda, obtener las credenciales y luego tomar el control del teléfono para realizar operaciones ya «a mano» por parte de un operador. En un estudio reciente de especialistas en análisis de amenazas móviles, a esta familia la llamaron Massiv, por uno de sus módulos internos.

Massiv hasta ahora se ha visto no en campañas masivas, sino en envíos relativamente pequeños y dirigidos. Pero incluso a esa escala el riesgo es alto, porque el troyano está diseñado para apoderarse del dispositivo y realizar después transacciones fraudulentas desde las cuentas bancarias de la víctima. En el informe se señalan casos confirmados de fraude en el sur de Europa.

Por sus capacidades, Massiv se parece a un troyano bancario moderno típico, aunque sin vínculos evidentes con otras familias conocidas. Incluye todo lo necesario para robar credenciales y evadir protecciones: pantallas falsas sobre aplicaciones legítimas, captura de entrada del teclado, interceptación de SMS y de notificaciones push. Todo eso ayuda a extraer inicios de sesión, contraseñas, datos de tarjetas y códigos de un solo uso, y luego mantener el acceso el tiempo suficiente para convertir el ataque en dinero.

La primera fase suele ser las pantallas falsas. Massiv vigila qué aplicaciones se inician en el teléfono infectado. Tan pronto el usuario abre la aplicación objetivo, el troyano muestra sobre ella un formulario de acceso o confirmación falsificado. Exteriormente copia la interfaz de la aplicación real y solicita introducir los datos «habituales» que la persona suele introducir por sí misma: usuario, contraseña, PIN y datos de la tarjeta.

En una de las campañas analizadas la víctima no tenía como objetivo un cliente bancario, sino la aplicación gubernamental portuguesa gov.pt. Funciona como un monedero digital de identidad, así que en la pantalla falsa se pedía al usuario número de teléfono y PIN. En el informe se plantea que los atacantes necesitan eso para eludir comprobaciones de identidad vinculadas a la autenticación estatal. Esto es relevante en el contexto del fraude financiero: si los delincuentes pueden confirmar la identidad mediante una herramienta digital oficial, les resulta más fácil pasar los procedimientos que normalmente filtran la actividad fraudulenta.

También se menciona Chave Móvel Digital, el sistema portugués de autenticación digital y firma electrónica. A través de él los ciudadanos acceden a servicios en línea, incluidos los bancarios. Si el troyano ayuda a robar credenciales vinculadas a esa solución, resulta más factible no solo entrar en una cuenta, sino también confirmar operaciones.

En algunos casos se abrían nuevas cuentas bancarias y de servicios a nombre de la víctima, en entidades en las que la persona no había operado antes. Esas cuentas quedan desde el inicio bajo control de los estafadores, por lo que las usan como monederos intermedios para extraer fondos, para esquemas de blanqueo e incluso para solicitar créditos. Como resultado, la víctima puede enfrentarse no solo a la pérdida de dinero sino también a deudas en bancos donde no abrió cuenta.

Cuando se recopilan las credenciales, Massiv activa la parte más peligrosa: el control remoto del teléfono. En el código se describe un módulo llamado FuncVNC. Está construido sobre los servicios de accesibilidad de Android, es decir, sobre el mecanismo que usan las personas con limitaciones de visión o motricidad y que con frecuencia aprovechan los programas maliciosos. Mediante ese mecanismo el troyano puede ver elementos de la interfaz y ejecutar acciones en la pantalla. El intercambio de comandos y datos se realiza mediante WebSocket, que se emplea como transporte hasta el servidor de control.

Durante la sesión remota Massiv tiene dos modos de operación. El primero es la transmisión de pantalla. Utiliza la API estándar MediaProjection, por lo que puede mostrar al operador la imagen del display casi en tiempo real. Pero algunas aplicaciones, especialmente las financieras, bloquean expresamente la captura de pantalla. Para ese caso existe un segundo modo, que en el informe llaman UI-tree. La idea es que, en lugar de una imagen, el troyano recopila el «árbol de la interfaz» a través de la API de accesibilidad y lo convierte en una descripción JSON de lo que hay en la pantalla.

Ese JSON incluye el texto visible, descripciones de los elementos, las clases técnicas de los componentes, las coordenadas y también atributos como «se puede pulsar», «se puede introducir texto», «en foco» o «activo». No se vuelcan todos los elementos, sino solo los que realmente permiten interactuar con la pantalla: los visibles, los clicables o los que contienen texto. El operador recibe un esquema estructurado de la pantalla y puede localizar botones y campos de entrada, incluso si la aplicación impide hacer capturas. Esto también permite automatizar parte de las acciones basándose en atributos de los elementos en lugar de adivinar coordenadas.

Otra parte de la historia es cómo Massiv llega a los dispositivos. En la campaña observada el troyano se disfrazaba de aplicación IPTV, es decir, de aplicación para televisión en línea. La idea es aprovechar la costumbre del público: muchos servicios IPTV se distribuyen fuera de Google Play, por sitios, foros y canales de Telegram, a veces por restricciones de derechos de autor. Los usuarios de esas aplicaciones suelen aceptar instalaciones desde orígenes desconocidos y no se sorprenden al pedirles permisos adicionales.

La mayoría de estos casos no consiste en piratear un servicio IPTV legal. Los atacantes simplemente toman una marca reconocible y ocultan bajo ella un cargador malicioso.

El esquema funciona así: la aplicación muestra internamente una página o un reproductor del servicio IPTV real, de modo que en pantalla todo parece verídico y el usuario no entiende de inmediato que algo falla. Al mismo tiempo, en segundo plano se inicia un módulo malicioso que realiza su trabajo sin que la persona lo note.

Según las observaciones de los investigadores, en los últimos 6–8 meses el señuelo de IPTV ha aparecido con más frecuencia. Aumenta el número de cargadores que se hacen pasar por aplicaciones IPTV. Campañas similares se han detectado en España, Portugal, Francia y Turquía.

Al final del informe describen a Massiv como una familia en desarrollo. En particular se mencionan claves API para comunicarse con la parte servidor. Además, se aprecia que el desarrollo continúa y el conjunto de funciones puede ampliarse. Un riesgo adicional es que las campañas pequeñas y dirigidas suelen pasar más tiempo inadvertidas: hacen menos ruido, generan menos indicadores masivos y atraen menos la atención de los sistemas automáticos.

Indicadores de compromiso del informe:

SHA-256: 54d4cb45fb7a18780ff2ccc7314b9b51ae446c58a179abbf9e62ce0c28539e8e
nombre del paquete: hobfjp.anrxf.cucm
nombre de la aplicación: Google Play
descripción: Massiv payload

SHA-256: f9a52a923989353deb55136830070554db40f544be5a43534273126060f8c1f6
nombre del paquete: hfgx.mqfy.fejku
nombre de la aplicación: IPTV24
descripción: Dropper