Android-Trojaner „Massiv“ nutzt IPTV-Apps als Köder

Ein neuer, hochgefährlicher Android-Banking-Trojaner kapert Smartphones über gefälschte Streaming-Apps. Die Schadsoftware namens „Massiv“ tarnt sich als populärer IPTV-Dienst und ermöglicht Angreifern die vollständige Fernsteuerung des Geräts. Das Ziel: digitale Identitäten stehlen, Bankkonten plündern und betrügerische Transaktionen durchführen.

Hinterlistige Verbreitung über Streaming-Köder

Die Cyberkriminellen setzen auf eine raffinierte Taktik. Sie packen den Trojaner in Apps, die kostenlosen Zugang zu IPTV-Streaming versprechen – oft für illegale oder lizenzierte Inhalte. Da solche Dienste nicht im offiziellen Google Play Store zu finden sind, laden Nutzer die App-Dateien (APKs) von Drittseiten herunter. Genau dieses Verhalten, das sogenannte Sideloading, spielt den Angreifern in die Hände.

Die gefälschte App wirkt täuschend echt. Nach der Installation öffnet sie oft ein WebView-Fenster zu einer echten Streaming-Website. Während der Nutzer den vermeintlichen Dienst nutzt, installiert sich „Massiv“ im Hintergrund – völlig unbemerkt. Diese Methode hat sich in den letzten sechs bis acht Monaten als äußerst effektiv erwiesen.

Totale Kontrolle durch fortschrittliche Techniken

„Massiv“ ist mehr als ein simpler Passwortdieb. Nachdem der Nutzer weitreichende Berechtigungen erteilt hat – insbesondere für die Android-Barrierefreiheitsdienste (Accessibility Services) – übernimmt die Malware die vollständige Kontrolle.

Für den Diebstahl sensibler Daten nutzt sie zwei Hauptmethoden:
1. Live-Bildschirm-Streaming über die MediaProjection-API, das dem Angreifer einen Echtzeit-Videofeed sendet.
2. UI-Tree-Modus, der selbst Apps mit Bildschirmaufnahme-Schutz überlistet. Die Malware analysiert die Benutzeroberfläche und kann so Texte auslesen sowie Knöpfe drücken – als ob der Angreifer persönlich das Gerät bedienen würde.

Zusätzlich setzt „Massiv“ auf klassische Methoden wie täuschend echte Login-Overlays und Keylogger.

Angriff auf digitale Identitäten – auch von Behörden

Besonders alarmierend ist das gezielte Angriffsziel: eine portugiesische Regierungs-App (gov.pt), die mit dem offiziellen Authentifizierungssystem Chave Móvel Digital (CMD) verknüpft ist. Durch perfekt nachgeahmte Oberflächen lockt der Trojaner Nutzer dazu, ihre Handynummer und PIN preiszugeben.

Der Zugriff auf solche digitalen Identitäten ist für Kriminelle äußerst wertvoll. Er ermöglicht es, die strengen KYC-Verifizierungen (Know Your Customer) von Banken zu umgehen. Die Forscher von ThreatFabric, die die Kampagne aufdeckten, berichten von Fällen, in denen Angreifer mit den gestohlenen Identitäten neue Bankkonten auf Namen der Opfer eröffneten. Diese wurden für Geldwäsche oder Kreditanträge missbraucht – die ahnungslosen Opfer blieben auf den Schulden sitzen.

Wenn Sie sich vor solchen Smartphone-Angriffen schützen wollen, hilft ein praxisnaher Leitfaden mit aktuellen Cyber-Security-Trends und konkreten Schutzmaßnahmen. Das kostenlose E-Book erklärt, welche einfachen Verhaltensregeln und technischen Einstellungen (z. B. sichere App-Quellen, Berechtigungs-Checks, Play Protect) effektiv gegen Phishing, Malware und gefälschte Apps schützen – sowohl für Unternehmen als auch für private Nutzer. Jetzt kostenloses Cyber-Security-E-Book herunterladen

So schützen Sie sich vor der Bedrohung

Die Bedrohung durch „Massiv“ unterstreicht einen generellen Trend: Cyberkriminelle nutzen das Interesse an Streaming-Diensten gezielt aus. Die Sicherheitsexperten raten zu klaren Schutzmaßnahmen:

• Nur offizielle Quellen nutzen: Laden Sie Apps ausschließlich aus dem Google Play Store herunter.
• Play Protect aktivieren: Stellen Sie sicher, dass der eingebaute Malware-Scanner von Android immer eingeschaltet ist.
• Berechtigungen kritisch prüfen: Seien Sie äußerst misstrauisch, wenn eine App Zugriff auf Barrierefreiheitsdienste verlangt. Diese Berechtigung erlaubt nahezu vollständige Kontrolle.
• Regelmäßig aufräumen: Überprüfen Sie die App-Berechtigungen und deinstallieren Sie ungenutzte oder verdächtige Anwendungen.

Da der Code der Malware laut Analyse noch in aktiver Entwicklung ist, müssen Nutzer mit weiteren, ausgefeilteren Versionen rechnen. Vorsicht bleibt die beste Verteidigung.