Alerta de seguridad: Falsas aplicaciones de IPTV propagan el nuevo troyano "Massiv" en dispositivos Android
Una nueva y peligrosa amenaza acecha a los usuarios de servicios de televisión por internet (IPTV). Investigadores de la firma de ciberseguridad ThreatFabric han identificado un troyano bancario inédito, bautizado como "Massiv", que se distribuye camuflado bajo la apariencia de aplicaciones legítimas de streaming para tomar el control total de los dispositivos Android y vaciar cuentas bancarias.
Operación y tácticas de engaño
De acuerdo con el análisis técnico de ThreatFabric, la campaña utiliza aplicaciones "dropper" (programas de instalación maliciosos) que imitan plataformas de IPTV populares. Estas aplicaciones suelen propagarse a través de campañas de SMS phishing (smishing), donde se invita a las víctimas a descargar la app mediante enlaces externos.
Una vez instalada, la aplicación muestra una interfaz funcional de IPTV para no levantar sospechas, mientras en segundo plano solicita permisos para instalar una "actualización crítica". Si el usuario acepta, el troyano Massiv se despliega silenciosamente, otorgando a los atacantes capacidades de DTO (Device Takeover) o toma de control del dispositivo.
Capacidades del troyano Massiv
El malware está diseñado específicamente para el robo financiero a gran escala. Entre sus funciones más alarmantes se encuentran:
Transmisión de pantalla: Utiliza la API MediaProjection de Android para ver en tiempo real lo que el usuario hace, permitiendo capturar credenciales mientras se escriben.
Superposiciones falsas (Overlays): Genera ventanas de inicio de sesión fraudulentas que aparecen encima de las aplicaciones bancarias reales para robar nombres de usuario y contraseñas.
Intercepción de SMS: El malware puede leer y ocultar mensajes de texto, lo que le permite interceptar códigos de verificación (OTP) y saltarse la autenticación de dos factores (2FA).
Keylogging: Registra cada pulsación de tecla realizada en el dispositivo.
Alcance geográfico y evolución
Los datos de ThreatFabric revelan que la campaña ha tenido un impacto significativo en Europa y Medio Oriente durante los últimos seis meses, con un enfoque particular en usuarios de España, Portugal, Francia y Turquía.
Los investigadores advierten que Massiv se encuentra en una fase de desarrollo activo. "El análisis del código revela que el operador está preparando el terreno para ofrecer el malware como un servicio (MaaS), introduciendo claves de API para la comunicación con el servidor central", indicaron los expertos de ThreatFabric. Esto sugiere que la amenaza podría escalar rápidamente si otros grupos criminales comienzan a "alquilar" esta herramienta.
Cómo protegerse
Para mitigar el riesgo de infección, los expertos recomiendan:
Evitar tiendas no oficiales: No descargar aplicaciones de IPTV o de cualquier otro tipo desde enlaces recibidos por SMS o sitios web desconocidos.
Revisar permisos: Desconfiar de aplicaciones que soliciten permisos de Accesibilidad o permiso para "instalar aplicaciones de fuentes desconocidas".
Seguridad bancaria: Utilizar soluciones de seguridad móvil confiables y estar alerta ante comportamientos inusuales en las interfaces de las aplicaciones financieras.
Este hallazgo subraya una tendencia creciente donde los atacantes aprovechan el auge del consumo de contenidos digitales piratas o de bajo costo para infiltrar software de espionaje financiero en los bolsillos de los usuarios.