Nel panorama delle minacce informatiche per dispositivi Android, ogni tanto emerge qualcosa di abbastanza sofisticato da meritare attenzione immediata. Massiv è un trojan bancario scoperto dai ricercatori di ThreatFabric. Si camuffa da applicazione IPTV per colpire chi cerca contenuti streaming al di fuori dei canali ufficiali.
Non si tratta di un malware grezzo o improvvisato. Al contrario, Massiv è uno strumento progettato per rubare identità digitali, intercettare credenziali bancarie e prendere il controllo remoto del dispositivo infetto.
Le campagne osservate finora hanno preso di mira principalmente chi si trova in Portogallo, Spagna, Francia e Grecia. I primi campioni del malware risalgono all’inizio del 2025, ma le campagne più strutturate sono emerse solo nelle settimane più recenti. Questo è un segnale che la fase di test è ormai conclusa e che l’operatività è a pieno regime.
Massiv: come funziona l’attacco
Il meccanismo di infezione di Massiv sfrutta un punto di debolezza comportamentale ben preciso. Chi usa app IPTV è abituato a scaricare applicazioni da fonti esterne al Google Play Store. Molti servizi operano in zone grigie dal punto di vista del copyright e non possono essere distribuiti tramite canali ufficiali.
Il sideloading, ovvero l’installazione manuale di file APK da siti web o canali Telegram, è prassi normale per questo tipo di pubblico. I criminali lo sanno e ne approfittano. Il dropper si presenta con nomi credibili come “IPTV24” (pacchetto hfgx.mqfy.fejku). Una volta avviato, chiede di installare un “aggiornamento importante” concedendo i permessi per installare software da fonti esterne. Dopo questo passaggio, il malware vero e proprio — camuffato come “Google Play” (pacchetto hobfjp.anrxf.cucm) — è già attivo sul dispositivo.
Controllo remoto del dispositivo infettato
Il malware dispone di un arsenale considerevole. Tramite overlay fasulli sovrapposti alle app legittime, cattura credenziali e dati di carte di credito. Il keylogger registra tutto ciò che viene digitato, mentre l’intercettazione degli SMS e delle notifiche push consente di aggirare i sistemi di autenticazione a due fattori.
La funzionalità più preoccupante è però il controllo remoto. Sfruttando le API MediaProjection di Android, l’operatore può vedere lo schermo in tempo reale, cliccare elementi dell’interfaccia, compilare moduli e avviare transazioni. Proprio come se tenesse il telefono in mano.
Per aggirare le protezioni anti-screenshot presenti in molte app bancarie, Massiv utilizza la cosiddetta “UI-tree mode”. Questa tecnica ricostruisce la struttura dell’interfaccia grafica in formato JSON sfruttando l’AccessibilityService. Senza dover catturare lo schermo direttamente, bypassa i sistemi di protezione tradizionali.
Il codice analizzato da ThreatFabric mostra segnali chiari di lavoro attivo in corso. L’introduzione di chiavi API nella comunicazione tra il malware e i server di controllo è un dettaglio tecnico che suggerisce la preparazione verso un modello Malware-as-a-Service. Se Massiv dovesse essere messo in vendita, il numero di campagne potrebbe crescere in modo rapido e difficile da contenere.
Conclusioni
Massiv non è l’unico malware che sfrutta il travestimento da app IPTV. Tuttavia, è tra i più completi e pericolosi emersi di recente. ThreatFabric ha osservato un aumento costante di dropper a tema TV negli ultimi 6-8 mesi.
Il fatto che si tratti ancora di campagne mirate e circoscritte rende, paradossalmente, la minaccia più difficile da intercettare. Un volume basso di attacchi attira meno l’attenzione dei sistemi di rilevamento automatico. Questo consente agli operatori di muoversi sotto il radar.
Per chi usa Android, la regola fondamentale rimane semplice: scaricare app esclusivamente da Google Play, tenere attivo Play Protect e, se si utilizzano servizi IPTV, valutare con attenzione il rischio che si accetta ogni volta che si installa un APK da fonti non verificate.
