Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós per a mòbils FvncBot

Programari maliciós per a mòbils FvncBot

El Mezo el Programari maliciós mòbil
Traduir a:

Els analistes de seguretat han identificat una soca de programari maliciós per a Android desconeguda anteriorment, anomenada FvncBot, que és una amenaça dissenyada completament des de zero. A diferència de molts troians bancaris moderns que deriven les seves capacitats de bases de codi filtrades, aquesta família segueix la seva pròpia arquitectura i tècniques.

Disfressada com una aplicació bancària polonesa de confiança

FvncBot es propaga sota l'aparença d'una eina de seguretat legítima de mBank, dirigida directament als usuaris de banca mòbil a Polònia. L'elecció de la disfressa, juntament amb una funcionalitat adaptada a la manipulació financera, indica fermament que els seus operadors estan centrats en campanyes de frau molt dirigides.

Funcions personalitzades per al frau financer

El programari maliciós inclou un ampli conjunt de funcions dissenyades per capturar informació sensible i controlar de forma remota els dispositius compromesos. En abusar dels serveis d'accessibilitat d'Android, afegeix registre de pulsacions, executa atacs d'injecció web, transmet contingut de pantalla en temps real i aprofita la computació de xarxa virtual oculta (HVNC) per facilitar l'activitat bancària no autoritzada.

FvncBot es basa en el servei de xifratge apk0day de Golden Crypt per a la protecció. L'aplicació maliciosa que es presenta a l'usuari funciona simplement com un carregador, desplegant la càrrega útil integrada.

Evitant les restriccions modernes d’Android

Un cop llançat, el programa intenta persuadir les víctimes perquè instal·lin el que sembla ser un component de Google Play. Aquest procés és en realitat un truc basat en sessions que s'utilitza per eludir les proteccions d'accessibilitat en dispositius amb Android 13 i posteriors, una tècnica vista en altres campanyes recents.

Durant el funcionament, el programari maliciós envia dades de registre a un servidor allotjat a naleymilva.it.com, cosa que permet als atacants monitoritzar l'activitat dels bots en temps real. Les metadades incrustades pels operadors, com ara l'identificador call_pl i la versió 1.0‑P, apunten a Polònia com l'objectiu inicial i suggereixen que FvncBot encara es troba en una fase inicial de desenvolupament.

Establir el control mitjançant l’abús d’accessibilitat

Després del desplegament, el programari maliciós demana a l'usuari que concedeixi permisos d'accessibilitat. Amb els privilegis elevats assegurats, contacta amb un servidor extern a través d'HTTP per registrar el dispositiu i utilitza Firebase Cloud Messaging (FCM) per rebre ordres contínues.

Capacitats bàsiques

  • A continuació es mostren algunes de les funcions principals compatibles:
  • Inicia o finalitza sessions WebSocket per al control remot, permetent lliscaments, tocs i desplaçament.
  • Reenvia els registres d'accessibilitat, les llistes d'aplicacions instal·lades i la informació del dispositiu als operadors.
  • Mostrar o ocultar les superposicions de pantalla completa per al robatori de dades.
  • Lliurar capes malicioses dissenyades per a aplicacions bancàries específiques.
  • Valida l'estat d'accessibilitat i registra les pulsacions de tecles.
  • Recupera les instruccions pendents del servidor d'ordres.
  • Reprodueix en streaming la pantalla del dispositiu mitjançant l'API de MediaProjection.
  • Superar les restriccions de les captures de pantalla amb el "mode de text".

Una característica destacable és un "mode de text" especialitzat que permet als atacants analitzar el contingut de la pantalla fins i tot quan les aplicacions impedeixen les captures de pantalla mitjançant la configuració FLAG_SECURE. Això permet una orientació precisa durant les transaccions fraudulentes.

Distribució encara incerta

El mètode d'infecció actual continua sent desconegut. Tanmateix, els troians bancaris d'Android sovint es basen en campanyes de phishing per SMS i botigues d'aplicacions no oficials, cosa que els converteix en vectors probables per a aquesta família també.

Una amenaça creixent que es pot estendre més enllà de Polònia

Com que el servei d'accessibilitat d'Android proporciona informació detallada sobre l'activitat dels usuaris i la capacitat de manipular el contingut en pantalla, continua sent una eina potent per als atacants. Tot i que aquest exemple se centra en usuaris de parla polonesa, els seus operadors podrien canviar fàcilment a noves regions o suplantar altres institucions.

Tendència

Més vist

Carregant...