Massiv, o novo malware que usa apps de IPTV para atacar em Portugal

Investigadores de cibersegurança da ThreatFabric identificaram uma nova e perigosa ameaça para o ecossistema Android. Baptizado Massiv, este trojan bancário está a utilizar o pretexto de aplicações de IPTV gratuitas para infectar dispositivos e realizar ataques de tomada de controlo (Device Takeover – DTO). O objectivo principal dos criminosos é o roubo de dados financeiros e a realização de transacções fraudulentas directamente a partir dos telemóveis das vítimas.

O que torna este caso particularmente relevante para o público nacional é o facto de Portugal, a par da Grécia, ser um dos alvos prioritários das primeiras campanhas detectadas em 2025. O malware não se limita a roubar credenciais; ele está a ser desenhado para contornar as medidas de segurança mais robustas das instituições bancárias e do próprio Estado Português.

A distribuição do Massiv ocorre através de técnicas de “smishing” (SMS phishing). Os utilizadores recebem mensagens que os convidam a instalar aplicações de visualização de televisão online, como a “IPTV24”. Ao descarregar o ficheiro, a vítima instala, na verdade, um “dropper” — um software que serve apenas de porta de entrada.

Assim que é executada, a aplicação solicita uma actualização supostamente crítica, que exige a permissão para instalar software de fontes externas. É neste momento que o verdadeiro malware Massiv é introduzido no sistema, muitas vezes disfarçado com o nome e o ícone da Google Play para evitar suspeitas. Enquanto o utilizador acredita estar a configurar um serviço de vídeo, o trojan começa a operar em segundo plano, a estabelecer comunicação com os servidores dos atacantes.

Um dos aspectos mais alarmantes desta campanha é o foco na aplicação gov.pt e na Chave Móvel Digital (CMD). Os investigadores descobriram que o Massiv utiliza janelas sobrepostas (overlays) falsas que surgem quando o utilizador tenta aceder a serviços da administração pública portuguesa. Estas janelas solicitam o número de telemóvel e o código PIN da CMD.

Ao obter estes dados, os criminosos conseguem contornar os processos de verificação de identidade (KYC). Com o controlo da Chave Móvel Digital, os atacantes podem abrir novas contas bancárias em nome da vítima, pedir empréstimos ou realizar operações de branqueamento de capitais sem que o legítimo proprietário tenha conhecimento imediato. Esta capacidade de personificação digital eleva o Massiv a um patamar de perigosidade superior à maioria dos trojans bancários convencionais.

O Massiv funciona como uma ferramenta de administração remota completa. Através do abuso dos serviços de acessibilidade do Android, os operadores do malware conseguem ver o ecrã da vítima em tempo real, registar as teclas premidas (keylogging) e interceptar mensagens SMS, o que anula a eficácia da autenticação de dois factores baseada em mensagens de texto.

Para garantir que as actividades maliciosas passam despercebidas, o trojan consegue activar uma sobreposição de ecrã preto e silenciar notificações e vibrações. Desta forma, o atacante pode estar a realizar transferências bancárias ou a alterar definições de segurança enquanto o utilizador pensa que o telemóvel está simplesmente desligado ou em repouso.

Muitas aplicações bancárias modernas possuem protecções contra a captura de ecrã. No entanto, o Massiv utiliza um método inovador chamado “UI-tree mode” para contornar estas barreiras. Em vez de tentar capturar uma imagem do ecrã, o malware analisa a estrutura técnica da interface (os objectos AccessibilityNodeInfo) para extrair texto, coordenadas de botões e descrições de conteúdo.

Esta informação é enviada para o atacante sob a forma de um ficheiro JSON, permitindo-lhe saber exactamente o que está escrito no ecrã e onde deve clicar para confirmar uma transacção, mesmo que não consiga “ver” a imagem propriamente dita. Esta sofisticação técnica demonstra que o Massiv está em constante desenvolvimento, com indícios de que poderá vir a ser comercializado como um serviço para outros cibercriminosos no futuro.