كشف باحثون في شركة الأمن الهولندية ThreatFabric عن برمجية خبيثة جديدة تحمل اسم Massiv، تستهدف مستخدمي الهواتف العاملة بنظام أندرويد عبر حملات محدودة لكنها عالية الخطورة. البرمجية تتخفى في صورة تطبيقات IPTV مزيفة، ما يجعلها جذابة للمستخدمين الباحثين عن خدمات التلفاز عبر الإنترنت، لكنها في الواقع أداة متقدمة لسرقة بيانات الاعتماد وتنفيذ هجمات استيلاء على الأجهزة (Device Takeover Attacks) بهدف الاحتيال المالي.
رُصدت أولى الحملات في البرتغال واليونان مطلع 2026، مع وجود عينات تعود إلى بدايات 2025 ضمن حملات اختبارية أصغر. وتُظهر هذه البرمجية تطوراً سريعاً في مشهد البرمجيات المصرفية الخبيثة، الذي يشهد منافسة بين عائلات مثل Crocodilus وDatzbro وKlopatra.
أساليب الاختراق والتضليل
تعتمد Massiv على تقنيات متعددة لسرقة بيانات المستخدمين، منها:
- بث الشاشة باستخدام واجهة MediaProjection API.
- تسجيل ضغطات لوحة المفاتيح.
- اعتراض الرسائل النصية القصيرة (SMS).
- إنشاء نوافذ وهمية فوق التطبيقات المصرفية تطلب من المستخدم إدخال بياناته وكلمات المرور.
إحدى الحملات استهدفت تطبيق الإدارة العامة البرتغالي gov.pt، حيث خدعت المستخدمين لإدخال رقم الهاتف والرمز السري المرتبط بخدمة الهوية الرقمية (Chave Móvel Digital)، ما يتيح للمهاجمين تجاوز إجراءات التحقق من الهوية (KYC) وفتح حسابات مصرفية جديدة باسم الضحايا لاستخدامها في غسل الأموال أو الحصول على قروض دون علمهم.
القدرات التقنية للبرمجية
تُعد Massiv أداة تحكم عن بُعد متكاملة، تمنح المهاجمين القدرة على السيطرة الكاملة على الجهاز المصاب. ومن أبرز وظائفها:
- تشغيل شاشة سوداء لإخفاء النشاط الخبيث.
- إرسال معلومات الجهاز للمهاجمين.
- تنفيذ نقرات وسحب على الشاشة.
- تعديل محتوى الحافظة (Clipboard).
- تشغيل أو تعطيل بث الشاشة.
- فتح إعدادات النظام مثل تحسين البطارية أو إدارة الجهاز.
- تنزيل ملفات APK وتثبيتها.
- تقديم نوافذ وهمية للتطبيقات المصرفية أو شاشة القفل.
لتجاوز الحماية ضد تصوير الشاشة، تستخدم البرمجية وضعاً يسمى UI-tree mode، حيث تقوم بتحليل عناصر واجهة المستخدم بشكل متسلسل وتصدير النصوص والخصائص المرئية إلى المهاجمين، ما يمنحهم صورة دقيقة عن نشاط المستخدم ويسمح لهم بالتفاعل مع الجهاز عن بُعد.
طرق التوزيع وانتشار الحملة
يتم توزيع Massiv عبر تطبيقات مزيفة مثل:
- IPTV24 (hfgx.mqfy.fejku) – تطبيق إسقاط (Dropper).
- Google Play (hobfjp.anrxf.cucm) – النسخة الرئيسية من البرمجية.
عادةً ما يُفتح التطبيق المزيف في واجهة WebView تعرض موقع IPTV حقيقي، بينما تكون البرمجية الخبيثة قد بدأت بالفعل في العمل على الجهاز. هذه الحملات استهدفت بشكل رئيسي دول مثل إسبانيا، البرتغال، فرنسا، وتركيا خلال الأشهر الستة الماضية.
ويشير تحليل ThreatFabric إلى أن مطوري Massiv يتجهون نحو نموذج Malware-as-a-Service، حيث أُضيفت مفاتيح API للتواصل مع الخوادم الخلفية، ما يعكس نية لتوسيع نطاق الاستخدام التجاري للبرمجية بين مجرمي الإنترنت.
