Κακόβουλο λογισμικό FvncBot για κινητά
Οι αναλυτές ασφαλείας έχουν εντοπίσει ένα προηγουμένως άγνωστο στέλεχος κακόβουλου λογισμικού για Android, με το όνομα FvncBot, το οποίο είναι μια απειλή που έχει σχεδιαστεί εξ ολοκλήρου από την αρχή. Σε αντίθεση με πολλά σύγχρονα τραπεζικά trojan που αντλούν τις δυνατότητές τους από διαρροές κώδικα, αυτή η οικογένεια ακολουθεί τη δική της αρχιτεκτονική και τεχνικές.
Πίνακας περιεχομένων
Μεταμφιεσμένη ως αξιόπιστη πολωνική τραπεζική εφαρμογή
Το FvncBot εξαπλώνεται με το πρόσχημα ενός νόμιμου εργαλείου ασφαλείας από την mBank, στοχεύοντας αποκλειστικά σε χρήστες mobile banking στην Πολωνία. Η επιλογή της μεταμφίεσης, σε συνδυασμό με λειτουργικότητα προσαρμοσμένη για οικονομική χειραγώγηση, υποδηλώνει έντονα ότι οι χειριστές του επικεντρώνονται σε στοχευμένες εκστρατείες απάτης.
Προσαρμοσμένες λειτουργίες για οικονομική απάτη
Το κακόβουλο λογισμικό περιλαμβάνει μια εκτεταμένη σουίτα δυνατοτήτων που έχουν σχεδιαστεί για την καταγραφή ευαίσθητων πληροφοριών και τον απομακρυσμένο έλεγχο παραβιασμένων συσκευών. Καταχρώμενο τις υπηρεσίες προσβασιμότητας του Android, προσθέτει keylogging, εκτελεί επιθέσεις web injection, μεταδίδει περιεχόμενο οθόνης και αξιοποιεί κρυφό εικονικό δίκτυο (HVNC) για να διευκολύνει μη εξουσιοδοτημένη τραπεζική δραστηριότητα.
Το FvncBot βασίζεται στην υπηρεσία κρυπτογράφησης apk0day της Golden Crypt για προστασία. Η κακόβουλη εφαρμογή που παρουσιάζεται στον χρήστη λειτουργεί απλώς ως loader, αναπτύσσοντας το ενσωματωμένο ωφέλιμο φορτίο.
Παράκαμψη των σύγχρονων περιορισμών Android
Μόλις ξεκινήσει, το dropper προσπαθεί να πείσει τα θύματα να εγκαταστήσουν αυτό που φαίνεται να είναι ένα στοιχείο του Google Play. Αυτή η διαδικασία είναι στην πραγματικότητα ένα κόλπο που βασίζεται σε συνεδρίες και χρησιμοποιείται για την παράκαμψη των προστασιών προσβασιμότητας σε συσκευές με Android 13 και νεότερες εκδόσεις, μια τεχνική που έχει παρατηρηθεί και σε άλλες πρόσφατες καμπάνιες.
Κατά τη λειτουργία του, το κακόβουλο λογισμικό στέλνει δεδομένα καταγραφής σε έναν διακομιστή που φιλοξενείται στη διεύθυνση naleymilva.it.com, επιτρέποντας στους εισβολείς να παρακολουθούν τη δραστηριότητα των bot σε πραγματικό χρόνο. Τα μεταδεδομένα που ενσωματώνονται από τους χειριστές, όπως το αναγνωριστικό call_pl και η έκδοση 1.0‑P, υποδεικνύουν την Πολωνία ως τον αρχικό στόχο και υποδηλώνουν ότι το FvncBot βρίσκεται ακόμη σε πρώιμο στάδιο ανάπτυξης.
Εδραίωση Ελέγχου Μέσω Κατάχρησης Προσβασιμότητας
Μετά την ανάπτυξη, το κακόβουλο λογισμικό ζητά από τον χρήστη να παραχωρήσει δικαιώματα προσβασιμότητας. Με εξασφαλισμένα αυξημένα δικαιώματα, επικοινωνεί με έναν εξωτερικό διακομιστή μέσω HTTP για να καταχωρίσει τη συσκευή και χρησιμοποιεί το Firebase Cloud Messaging (FCM) για να λαμβάνει συνεχείς εντολές.
Βασικές δυνατότητες
- Παρακάτω παρατίθενται μερικές από τις κύριες υποστηριζόμενες λειτουργίες:
- Έναρξη ή τερματισμός συνεδριών WebSocket για απομακρυσμένο έλεγχο, ενεργοποιώντας σαρώσεις, αγγίγματα και κύλιση.
Ένα αξιοσημείωτο χαρακτηριστικό είναι μια εξειδικευμένη «λειτουργία κειμένου» που επιτρέπει στους εισβολείς να αναλύουν το περιεχόμενο της οθόνης ακόμα και όταν οι εφαρμογές αποτρέπουν τα στιγμιότυπα οθόνης μέσω της ρύθμισης FLAG_SECURE. Αυτό επιτρέπει την ακριβή στόχευση κατά τη διάρκεια δόλιων συναλλαγών.
Η κατανομή είναι ακόμα ασαφής
Η τρέχουσα μέθοδος μόλυνσης παραμένει άγνωστη. Ωστόσο, τα trojan τραπεζικών συναλλαγών Android βασίζονται συχνά σε καμπάνιες ηλεκτρονικού "ψαρέματος" μέσω SMS και σε ανεπίσημα καταστήματα εφαρμογών, γεγονός που τα καθιστά πιθανά αίτια αυτής της οικογένειας.
Μια αυξανόμενη απειλή που μπορεί να επεκταθεί πέρα από την Πολωνία
Επειδή η υπηρεσία προσβασιμότητας του Android παρέχει εις βάθος γνώση της δραστηριότητας των χρηστών και τη δυνατότητα χειραγώγησης περιεχομένου στην οθόνη, παραμένει ένα ισχυρό εργαλείο για τους εισβολείς. Παρόλο που αυτό το δείγμα εστιάζει σε χρήστες που μιλούν πολωνικά, οι χειριστές της θα μπορούσαν εύκολα να στραφούν σε νέες περιοχές ή να μιμηθούν άλλα ιδρύματα.
