Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Mobilní malware FvncBot

Mobilní malware FvncBot

V roce Mezo v roce Mobilní malware
Přeložit do:

Bezpečnostní analytici identifikovali dříve neznámý kmen malwaru pro Android s názvem FvncBot, což je hrozba vytvořená zcela od nuly. Na rozdíl od mnoha moderních bankovních trojských koní, které odvozují své schopnosti z uniklých kódových základen, tato rodina používá vlastní architekturu a techniky.

Maskované jako důvěryhodná polská bankovní aplikace

FvncBot se šíří pod rouškou legitimního bezpečnostního nástroje od mBank a cílí přímo na uživatele mobilního bankovnictví v Polsku. Volba maskování v kombinaci s funkcemi přizpůsobenými pro finanční manipulaci silně naznačuje, že se jeho provozovatelé zaměřují na cílené podvodné kampaně.

Funkce na míru pro finanční podvody

Malware obsahuje rozsáhlou sadu funkcí určených k zachycení citlivých informací a vzdálené kontrole napadených zařízení. Zneužíváním služeb přístupnosti systému Android přidává keylogging, provádí útoky web-inject, streamuje obsah obrazovky a využívá skryté virtuální síťové výpočty (HVNC) k usnadnění neoprávněných bankovních aktivit.

FvncBot se pro ochranu spoléhá na kryptovací službu apk0day od společnosti Golden Crypt. Škodlivá aplikace, která je uživateli prezentována, funguje pouze jako zavaděč, který nasazují vložený datový obsah.

Obcházení moderních omezení Androidu

Po spuštění se dropper snaží přesvědčit oběti k instalaci něčeho, co vypadá jako komponenta z Google Play. Tento proces je ve skutečnosti trik založený na relaci, který se používá k obcházení ochrany přístupnosti na zařízeních s Androidem 13 a novějším, což je technika, která se objevila v jiných nedávných kampaních.

Během provozu malware odesílá data protokolů na server hostovaný na adrese naleymilva.it.com, což útočníkům umožňuje sledovat aktivitu botů v reálném čase. Metadata vložená provozovateli, jako je identifikátor call_pl a verze 1.0‑P, ukazují na Polsko jako na počáteční cíl a naznačují, že FvncBot je stále v rané fázi vývoje.

Zavedení kontroly prostřednictvím zneužívání přístupnosti

Po nasazení malware vyzve uživatele k udělení oprávnění pro přístup. Se zvýšenými oprávněními kontaktuje externí server přes HTTP, aby zaregistroval zařízení, a používá Firebase Cloud Messaging (FCM) k přijímání aktuálních příkazů.

Základní schopnosti

  • Níže jsou uvedeny některé z hlavních podporovaných funkcí:
  • Zahájení nebo ukončení relací WebSocket pro vzdálené ovládání, povolení přejetí prstem, klepnutí a posouvání.
  • Přeposílejte operátorům protokoly přístupnosti, seznamy nainstalovaných aplikací a informace o zařízení.
  • Zobrazení nebo skrytí překryvných obrázků na celou obrazovku pro případ krádeže dat.
  • Poskytujte škodlivé překryvy vytvořené pro specifické bankovní aplikace.
  • Ověřte stav přístupnosti a zaznamenejte stisknuté klávesy.
  • Načíst čekající instrukce z příkazového serveru.
  • Streamujte obrazovku zařízení pomocí rozhraní MediaProjection API.
  • Překonání omezení snímků obrazovky pomocí „textového režimu“.

Jednou z pozoruhodných funkcí je specializovaný „textový režim“, který umožňuje útočníkům analyzovat obsah obrazovky, i když aplikace brání pořizování snímků obrazovky pomocí nastavení FLAG_SECURE. To umožňuje přesné cílení během podvodných transakcí.

Distribuce stále nejasná

Aktuální metoda infekce zůstává neznámá. Bankovní trojské koně pro Android se však často spoléhají na SMS phishingové kampaně a neoficiální obchody s aplikacemi, což z nich dělá pravděpodobné vektory i pro tuto rodinu.

Rostoucí hrozba, která se může rozšířit i za hranice Polska

Protože služba usnadnění přístupu v systému Android poskytuje hluboký vhled do aktivity uživatelů a možnost manipulovat s obsahem na obrazovce, zůstává pro útočníky silným nástrojem. Ačkoli se tento příklad zaměřuje na polsky mluvící uživatele, její provozovatelé by se mohli snadno přepnout do nových regionů nebo se vydávat za jiné instituce.

Trendy

Nejvíce shlédnuto

Načítání...