Rabattilbud med flere licenser
Trusseldatabase Mobil malware FvncBot mobilmalware

FvncBot mobilmalware

Med Mezo i Mobil malware
Oversæt til:

Sikkerhedsanalytikere har identificeret en hidtil ukendt Android-malware-stamme, kaldet FvncBot, som er en trussel, der er udviklet helt fra bunden. I modsætning til mange moderne banktrojanere, der henter deres funktioner fra lækkede kodebaser, følger denne familie sin egen arkitektur og teknikker.

Forklædt som en betroet polsk bankapp

FvncBot spredes under dække af et legitimt sikkerhedsværktøj fra mBank og sigter direkte mod mobilbankbrugere i Polen. Valget af forklædning, kombineret med funktionalitet skræddersyet til finansiel manipulation, indikerer stærkt, at dets operatører fokuserer på meget målrettede svindelkampagner.

Specialbyggede funktioner til økonomisk svindel

Malwaren inkluderer en omfattende pakke af funktioner, der er designet til at indsamle følsomme oplysninger og fjernstyre kompromitterede enheder. Ved at misbruge Androids tilgængelighedstjenester tilføjer den keylogging, udfører web-injection-angreb, streamer skærmindhold og udnytter skjult virtuel netværksdatabehandling (HVNC) til at muliggøre uautoriseret bankaktivitet.

FvncBot bruger krypteringstjenesten apk0day fra Golden Crypt til beskyttelse. Den ondsindede app, der præsenteres for brugeren, fungerer blot som en indlæser, der udruller den integrerede nyttelast.

Omgåelse af moderne Android-begrænsninger

Når den er lanceret, forsøger dropperen at overtale ofrene til at installere, hvad der ser ud til at være en Google Play-komponent. Denne proces er faktisk et sessionsbaseret trick, der bruges til at omgå tilgængelighedsbeskyttelse på enheder, der kører Android 13 og nyere, en teknik, der er set i andre nylige kampagner.

Under drift sender malwaren logdata til en server, der hostes på naleymilva.it.com, hvilket giver angribere mulighed for at overvåge botaktivitet i realtid. Metadata, der er indlejret af operatørerne, såsom identifikatoren call_pl og version 1.0-P, peger på Polen som det oprindelige mål og antyder, at FvncBot stadig er i en tidlig udviklingsfase.

Etablering af kontrol gennem misbrug af tilgængelighed

Efter implementeringen beder malwaren brugeren om at give adgangstilladelser. Med sikrede forhøjede rettigheder kontakter den en ekstern server via HTTP for at registrere enheden og bruger Firebase Cloud Messaging (FCM) til at modtage løbende kommandoer.

Kernefunktioner

  • Nedenfor er nogle af de primære understøttede funktioner:
  • Start eller afslut WebSocket-sessioner til fjernbetjening, aktivér swipes, taps og scrolling.
  • Videresend tilgængelighedslogfiler, lister over installerede apps og enhedsoplysninger til operatørerne.
  • Vis eller skjul fuldskærmsoverlejringer for datatyveri.
  • Lever ondsindede overlays designet til specifikke bankapplikationer.
  • Valider tilgængelighedsstatus og log tastetryk.
  • Hent ventende instruktioner fra kommandoserveren.
  • Stream enhedens skærm ved hjælp af MediaProjection API'en.
  • Overvind skærmbilledebegrænsninger med 'teksttilstand'.

    • En bemærkelsesværdig funktion er en specialiseret 'teksttilstand', der giver angribere mulighed for at analysere skærmindhold, selv når apps forhindrer skærmbilleder via FLAG_SECURE-indstillingen. Dette muliggør præcis målretning under svigagtige transaktioner.

    Distribution stadig uafklaret

    Den nuværende infektionsmetode er fortsat ukendt. Android-banktrojanere er dog ofte afhængige af SMS-phishingkampagner og uofficielle appbutikker, hvilket gør dem til sandsynlige vektorer for denne familie også.

    En voksende trussel, der kan sprede sig ud over Polen

    Fordi Androids tilgængelighedstjeneste giver dybdegående indsigt i brugeraktivitet og muligheden for at manipulere indhold på skærmen, er den fortsat et effektivt værktøj for angribere. Selvom dette eksempel fokuserer på polsktalende brugere, kan dens operatører nemt skifte til nye regioner eller udgive sig for at være andre institutioner.

    Trending

    Mest sete

    Indlæser...