Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Мобилен зловреден софтуер FvncBot

Мобилен зловреден софтуер FvncBot

До Mezo през Мобилен зловреден софтуерг
Превод на:

Анализатори по сигурността са идентифицирали неизвестен досега щам на зловреден софтуер за Android, наречен FvncBot, който е заплаха, изцяло разработена от нулата. За разлика от много съвременни банкови троянци, които извличат своите възможности от изтекли кодови бази, това семейство следва собствена архитектура и техники.

Маскирано като надеждно полско банково приложение

FvncBot се разпространява под прикритието на легитимен инструмент за сигурност от mBank, насочен директно към потребителите на мобилно банкиране в Полша. Изборът на маскировка, съчетан с функционалност, предназначена за финансови манипулации, силно показва, че операторите му са фокусирани върху силно насочени кампании за измами.

Специално разработени функции за финансови измами

Зловредният софтуер включва богат набор от възможности, предназначени за събиране на чувствителна информация и дистанционно управление на компрометирани устройства. Чрез злоупотреба с услугите за достъпност на Android, той добавя кейлогинг, изпълнява атаки с уеб инжектиране, стриймва съдържание от екрана и използва скрити виртуални мрежови изчисления (HVNC), за да улесни неоторизирана банкова дейност.

FvncBot разчита на услугата за криптиране apk0day от Golden Crypt за защита. Злонамереното приложение, представено на потребителя, функционира само като зареждащ файл, разгръщайки вградения полезен товар.

Заобикаляне на ограниченията на съвременния Android

След стартирането си, дропърът се опитва да убеди жертвите да инсталират нещо, което изглежда като компонент на Google Play. Този процес всъщност е базиран на сесия трик, използван за заобикаляне на защитите за достъпност на устройства с Android 13 и по-нови версии, техника, наблюдавана в други скорошни кампании.

По време на работа, зловредният софтуер изпраща лог данни до сървър, хостван на naleymilva.it.com, което позволява на атакуващите да наблюдават активността на ботовете в реално време. Метаданните, вградени от операторите, като идентификатора call_pl и версията 1.0‑P, сочат Полша като първоначална цел и предполагат, че FvncBot все още е в ранен етап на разработка.

Установяване на контрол чрез злоупотреба с достъпността

След внедряването си, зловредният софтуер подканва потребителя да предостави разрешения за достъп. След като са осигурени повишени привилегии, той се свързва с външен сървър чрез HTTP, за да регистрира устройството, и използва Firebase Cloud Messaging (FCM), за да получава текущи команди.

Основни възможности

  • По-долу са изброени някои от основните поддържани функции:
  • Иницииране или прекратяване на WebSocket сесии за дистанционно управление, като се активират плъзгания, докосвания и превъртане.
  • Препращайте регистрационни файлове за достъпност, списъци с инсталирани приложения и информация за устройството към операторите.
  • Показване или скриване на наслагвания на цял екран за кражба на данни.
  • Предоставяне на злонамерени наслагвания, създадени за специфични банкови приложения.
  • Проверете състоянието на достъпност и регистрирайте натисканията на клавиши.
  • Извличане на чакащи инструкции от командния сървър.
  • Предавайте поточно екрана на устройството, използвайки MediaProjection API.
  • Преодоляване на ограниченията на екрана с „Текстов режим“.

Една забележителна функция е специализираният „текстов режим“, който позволява на нападателите да анализират съдържанието на екрана, дори когато приложенията предотвратяват създаването на екранни снимки чрез настройката FLAG_SECURE. Това позволява прецизно насочване по време на измамни транзакции.

Разпределението все още е неясно

Настоящият метод на заразяване остава неизвестен. Въпреки това, банковите троянци за Android често разчитат на SMS фишинг кампании и неофициални магазини за приложения, което ги прави вероятни вектори и за това семейство.

Нарастваща заплаха, която може да се разпростре отвъд Полша

Тъй като услугата за достъпност на Android предоставя задълбочен поглед върху потребителската активност и възможност за манипулиране на екранното съдържание, тя остава мощен инструмент за нападателите. Въпреки че този пример се фокусира върху полскоговорящи потребители, операторите ѝ биха могли лесно да преминат към нови региони или да се представят за други институции.

Тенденция

Cosollic.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Бдението по време на сърфиране е от съществено значение, тъй като много уебсайтове днес се опитват да заблудят потребителите с подвеждащи тактики, които ги излагат на рискове за сигурността и...

Ptifirelaria.com

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
Бдението при навигиране в интернет е от съществено значение, тъй като безброй подвеждащи страници са предназначени да подведат посетителите, да предизвикат опасни действия или да ги изложат на...

Най-гледан

Зареждане...