FvncBot mobiilne pahavara
Turvaanalüütikud on tuvastanud seni tundmatu Androidi pahavara tüve nimega FvncBot, mis on täielikult nullist loodud oht. Erinevalt paljudest tänapäevastest pangandustroojatest, mis ammutavad oma võimed lekkinud koodibaasidest, järgib see perekond oma arhitektuuri ja tehnikaid.
Sisukord
Maskeeritud usaldusväärseks Poola pangandusrakenduseks
FvncBot levib mBanki legaalse turvatööriista varjus, sihtides otseselt Poola mobiilipanga kasutajaid. Varjatud tööriist koos finantsmanipulatsiooniks kohandatud funktsionaalsusega viitab tugevalt sellele, et selle operaatorid keskenduvad väga sihipärastele petukampaaniatele.
Finantspettuste jaoks kohandatud funktsioonid
Pahavara sisaldab ulatuslikku funktsioonide komplekti, mis on loodud tundliku teabe jäädvustamiseks ja ohustatud seadmete kaugjuhtimiseks. Androidi ligipääsetavuse teenuseid kuritarvitades lisab see klahvilogimist, teostab veebisüstimise rünnakuid, voogedastab ekraanisisu ja kasutab varjatud virtuaalset võrguarvutust (HVNC) volitamata pangatoimingute hõlbustamiseks.
FvncBot tugineb kaitseks Golden Crypti krüpteerimisteenusele apk0day. Kasutajale kuvatav pahatahtlik rakendus toimib vaid laadurina, mis rakendab manustatud sisu.
Moodsate Androidi piirangute möödahiilimine
Pärast käivitamist üritab tilguti veenda ohvreid installima midagi, mis näib olevat Google Play komponent. See protsess on tegelikult seansipõhine trikk, mida kasutatakse ligipääsetavuse kaitse möödahiilimiseks seadmetes, mis käitavad Android 13 ja uuemaid versioone – tehnika, mida on nähtud ka teistes hiljutistes kampaaniates.
Töötamise ajal saadab pahavara logiandmeid naleymilva.it.com-is majutatud serverisse, mis võimaldab ründajatel roboti tegevust reaalajas jälgida. Operaatorite poolt manustatud metaandmed, näiteks identifikaator call_pl ja versioon 1.0‑P, viitavad esialgse sihtmärgina Poolale ja viitavad sellele, et FvncBot on alles arenduse algstaadiumis.
Kontrolli loomine ligipääsetavuse kuritarvitamise kaudu
Pärast juurutamist palub pahavara kasutajal anda ligipääsuõigused. Kõrgendatud õiguste korral võtab see seadme registreerimiseks HTTP kaudu ühendust välise serveriga ja kasutab käimasolevate käskude vastuvõtmiseks Firebase'i pilvesõnumiteenust (FCM).
Põhivõimed
- Allpool on toodud mõned peamised toetatud funktsioonid:
- Käivitage või lõpetage WebSocketi seansse kaugjuhtimise jaoks, lubades pühkimisi, puudutusi ja kerimisi.
- Edasta operaatoritele ligipääsetavuse logid, installitud rakenduste loendid ja seadme teave.
- Kuva või peida andmevarguse korral täisekraanil kuvatavad katted.
- Edastage pahatahtlikke pealiskihte, mis on loodud konkreetsete pangandusrakenduste jaoks.
- Ligipääsetavuse valideerimine ja klahvivajutuste logimine.
- Too käsuserverist ootel olevad juhised.
- Voogedasta seadme ekraani MediaProjection API abil.
- Ekraanipiltide piirangute ületamine tekstirežiimi abil.
Üks tähelepanuväärne funktsioon on spetsiaalne tekstirežiim, mis võimaldab ründajatel analüüsida ekraanisisu isegi siis, kui rakendused keelavad ekraanipiltide tegemise FLAG_SECURE sätte kaudu. See võimaldab petturlike tehingute ajal täpset sihtimist.
Jaotus on endiselt ebaselge
Praegune nakatumismeetod on teadmata. Androidi pangandustroojalased tuginevad aga sageli SMS-õngitsuskampaaniatele ja mitteametlikele rakenduste poodidele, mis muudab need ka selle perekonna tõenäoliseks levikuvektoriks.
Kasvav oht, mis võib laieneda ka väljaspool Poolat
Kuna Androidi ligipääsetavuse teenus pakub põhjalikku ülevaadet kasutajate tegevusest ja võimalust ekraanil kuvatavat sisu manipuleerida, on see ründajate jaoks endiselt võimas tööriist. Kuigi see valim keskendub poola keelt kõnelevatele kasutajatele, saavad selle operaatorid hõlpsalt uutele piirkondadele üle minna või teiste institutsioonide liikmeks esineda.
