برنامج FvncBot الخبيث للهواتف المحمولة

اكتشف محللو الأمن سلالة برمجية خبيثة غير معروفة سابقًا تستهدف نظام أندرويد، تُدعى FvncBot، وهي تهديد مصمم بالكامل من الصفر. وعلى عكس العديد من برامج التجسس المصرفية الحديثة التي تستمد قدراتها من قواعد بيانات مسربة، تتبع هذه العائلة بنية وتقنيات خاصة بها.

متنكرًا في هيئة تطبيق مصرفي بولندي موثوق

ينتشر برنامج FvncBot متخفياً تحت ستار أداة أمنية شرعية من mBank، مستهدفاً مستخدمي الخدمات المصرفية عبر الهاتف المحمول في بولندا. ويشير اختيار هذا التمويه، إلى جانب وظائفه المصممة خصيصاً للتلاعب المالي، بقوة إلى أن القائمين عليه يركزون على حملات احتيال شديدة الاستهداف.

ميزات مصممة خصيصًا لمكافحة الاحتيال المالي

تتضمن البرمجية الخبيثة مجموعة واسعة من القدرات المصممة لالتقاط المعلومات الحساسة والتحكم عن بُعد بالأجهزة المخترقة. ومن خلال استغلال خدمات إمكانية الوصول في نظام أندرويد، تُضيف هذه البرمجية خاصية تسجيل ضغطات المفاتيح، وتُنفذ هجمات حقن الويب، وتُبث محتوى الشاشة، وتستغل تقنية الحوسبة الشبكية الافتراضية المخفية (HVNC) لتسهيل عمليات مصرفية غير مصرح بها.

يعتمد برنامج FvncBot على خدمة التشفير apk0day من Golden Crypt للحماية. ويعمل التطبيق الخبيث المُقدَّم للمستخدم كأداة تحميل فقط، حيث يقوم بنشر الحمولة المُضمَّنة.

تجاوز قيود نظام أندرويد الحديث

بمجرد تشغيل البرنامج الخبيث، يحاول إقناع الضحايا بتثبيت ما يبدو أنه مكون من متجر جوجل بلاي. هذه العملية في الواقع خدعة تعتمد على الجلسة تُستخدم لتجاوز حماية إمكانية الوصول على الأجهزة التي تعمل بنظام أندرويد 13 والإصدارات الأحدث، وهي تقنية شوهدت في حملات مماثلة حديثة.

أثناء التشغيل، يرسل البرنامج الخبيث بيانات السجل إلى خادم مُستضاف على naleymilva.it.com، مما يسمح للمهاجمين بمراقبة نشاط الروبوت في الوقت الفعلي. تشير البيانات الوصفية المُضمنة من قِبل المُشغلين، مثل المعرّف call_pl والإصدار 1.0-P، إلى بولندا كهدف أولي، وتُشير إلى أن FvncBot لا يزال في مرحلة مبكرة من التطوير.

فرض السيطرة من خلال إساءة استخدام إمكانية الوصول

بعد التثبيت، يطلب البرنامج الخبيث من المستخدم منح أذونات الوصول. وبعد الحصول على صلاحيات موسعة، يتصل بخادم خارجي عبر بروتوكول HTTP لتسجيل الجهاز، ويستخدم خدمة Firebase Cloud Messaging (FCM) لتلقي الأوامر بشكل مستمر.

القدرات الأساسية

• فيما يلي بعض الوظائف الأساسية المدعومة:
• بدء أو إنهاء جلسات WebSocket للتحكم عن بعد، مما يتيح التمرير والنقر والتصفح.

إحدى الميزات البارزة هي "وضع النص" المتخصص الذي يسمح للمهاجمين بتحليل محتوى الشاشة حتى عندما تمنع التطبيقات التقاط لقطات الشاشة من خلال إعداد FLAG_SECURE. وهذا يُمكّن من استهداف دقيق أثناء المعاملات الاحتيالية.

التوزيع لا يزال غير واضح

لا تزال طريقة الإصابة الحالية غير معروفة. ومع ذلك، تعتمد برامج التجسس المصرفية على نظام أندرويد بشكل متكرر على حملات التصيد الاحتيالي عبر الرسائل النصية القصيرة ومتاجر التطبيقات غير الرسمية، مما يجعلها على الأرجح من بين الوسائل المحتملة لانتشار هذه العائلة من البرامج الضارة.

تهديد متنامٍ قد يمتد إلى ما وراء بولندا

نظراً لأن خدمة إمكانية الوصول في نظام أندرويد توفر رؤية معمقة لنشاط المستخدم وقدرةً على التلاعب بالمحتوى المعروض على الشاشة، فإنها تظل أداةً قويةً للمهاجمين. ورغم أن هذه العينة تركز على المستخدمين الناطقين باللغة البولندية، إلا أن مشغليها قد ينتقلون بسهولة إلى مناطق أخرى أو ينتحلون صفة مؤسسات أخرى.