I ricercatori di ThreatFabric hanno scoperto un nuovo trojan bancario per Android. Si chiama Massiv e viene distribuito tramite una falsa app IPTV. Permette ai cybercriminali di rubare le credenziali, intercettare i codici OTP e quindi di accedere ai conti correnti. Gli utenti possono seguire alcuni consigli per evitare il pericolo.

Come funziona Massiv per Android

Le recenti indagini delle forze dell’ordine dimostrano la popolarità delle IPTV pirata che consentono di accedere ai contenuti in streaming. Esistono molte app IPTV distribuite fuori dal Google Play Store, come quella scoperta dai ricercatori di ThreatFabric (NOS TV).

L’attacco inizia solitamente con l’invio di email o messaggi che contengono il link del sito che ospita l’app IPTV fasulla. Come tutti i trojan bancari, anche Massiv sfrutta i servizi di accessibilità per ottenere il controllo remoto del dispositivo e mostrare un’interfaccia di login simile a quella degli istituti bancari.

I cybercriminali possono usare il malware per vedere il contenuto dello schermo in diretta, catturare i tasti premuti (keylogging) e intercettare i codici OTP dell’autenticazione in due fattori o le notifiche push. I servizi di accessibilità consentono anche di interagire con gli elementi dell’interfaccia (pulsanti e box di testo).

Massiv è stato utilizzato anche per mostrare la schermata di login dell’identità digitale portoghese (equivalente allo SPID italiano), in cui devono essere inseriti numero di telefono e PIN. L’app fasulla consente di aggirare la verifica KYC (Know Your Customer), accedere agli account bancari ed eseguire transazioni fraudolente.

ThreatFabric ha rilevato diversi casi in cui sono stati aperti nuovi conti a nome della vittima presso banche. I conti correnti possono essere utilizzati per riciclaggio di denaro, ottenere prestiti e incassare il denaro. Le ignare vittime diventano così debitori nei confronti della banca, anche se non hanno mai aperto un conto.

Il consiglio principale è quello di non scaricare mai app IPTV da fonti sconosciuti. L’accesso a contenuti pirata potrebbe costare caro (molto di più degli abbonamenti regolari). La funzionalità Google Play Protect può rilevare e bloccare il trojan bancario.