Malware Android “Massiv” Menyamar sebagai Aplikasi IPTV, Targetkan Rekening Bank
Sebuah malware perbankan Android baru yang dijuluki Massiv ditemukan menyamar sebagai aplikasi IPTV untuk mencuri identitas digital korban dan mengakses rekening perbankan online.
Malware ini memanfaatkan teknik screen overlay dan keylogging untuk mengumpulkan data sensitif, serta mampu mengambil alih kendali perangkat dari jarak jauh.
Targetkan Sistem Identitas Digital Portugal
Dalam kampanye yang diamati oleh perusahaan deteksi fraud dan intelijen ancaman mobile ThreatFabric, Massiv diketahui menargetkan aplikasi pemerintah Portugal yang terhubung dengan Chave Móvel Digital—sistem autentikasi dan tanda tangan digital resmi negara tersebut.
Kedua layanan ini menyimpan data pengguna yang dapat dimanfaatkan untuk melewati proses verifikasi know-your-customer (KYC), membuka rekening bank baru, atau mengakses berbagai layanan publik dan privat secara online.
ThreatFabric melaporkan bahwa dalam beberapa kasus, pelaku membuka rekening baru atas nama korban di bank atau layanan keuangan yang sebelumnya tidak pernah digunakan korban. Rekening tersebut sepenuhnya berada di bawah kendali pelaku, sehingga dapat dimanfaatkan untuk pencucian uang, pengajuan pinjaman, hingga penarikan dana secara ilegal—sementara korban menanggung konsekuensi finansialnya.
Dua Mode Kendali Jarak Jauh
Massiv memiliki dua mekanisme utama untuk mengendalikan perangkat korban:
- Mode live-stream layar yang memanfaatkan API MediaProjection Android untuk menampilkan aktivitas layar secara real-time kepada pelaku.
- Mode UI-tree yang mengekstrak data terstruktur dari Accessibility Service.
Mode UI-tree memungkinkan pelaku membaca teks yang terlihat di layar, nama elemen antarmuka, koordinat layar, hingga atribut interaksi. Dengan informasi tersebut, penyerang dapat menekan tombol, mengedit kolom teks, dan melakukan navigasi dalam aplikasi.
Teknik ini efektif untuk melewati perlindungan screen-capture yang lazim digunakan aplikasi perbankan dan komunikasi yang memuat konten sensitif.
Umpan IPTV Semakin Marak
ThreatFabric juga mencatat tren meningkatnya penggunaan aplikasi IPTV sebagai umpan penyebaran malware Android dalam delapan bulan terakhir.
Karena aplikasi IPTV yang menawarkan siaran bajakan umumnya melanggar kebijakan, aplikasi tersebut tidak tersedia di Google Play. Pengguna terbiasa mengunduh file APK dari sumber tidak resmi, sehingga peluang penyebaran malware menjadi lebih besar.
Dalam banyak kasus, aplikasi IPTV tersebut sepenuhnya palsu dan hanya berfungsi sebagai dropper untuk memasang payload malware Massiv. Pada beberapa varian, aplikasi menampilkan situs IPTV asli melalui WebView untuk menciptakan kesan legitimasi.
Peneliti menemukan bahwa dropper malware berkedok IPTV ini terutama menargetkan pengguna di Spanyol, Portugal, Prancis, dan Turki.
Rekomendasi Keamanan
Untuk meminimalkan risiko infeksi, pengguna Android disarankan hanya mengunduh aplikasi dari sumber resmi seperti Google Play dan memastikan Play Protect tetap aktif.
Selain itu, pengguna perlu berhati-hati terhadap aplikasi yang meminta izin aksesibilitas atau izin layar yang tidak relevan dengan fungsinya, karena izin tersebut sering disalahgunakan untuk pengendalian jarak jauh dan pencurian data.
Kasus Massiv menunjukkan bahwa teknik penyamaran malware terus berevolusi, dengan memanfaatkan kebiasaan pengguna yang mengunduh aplikasi dari sumber tidak resmi demi mengakses konten tertentu.
