بدافزار موبایل FvncBot

تحلیلگران امنیتی یک گونه بدافزار اندرویدی ناشناخته به نام FvncBot را شناسایی کرده‌اند که تهدیدی است که کاملاً از ابتدا طراحی شده است. برخلاف بسیاری از تروجان‌های بانکی مدرن که قابلیت‌های خود را از پایگاه‌های کد فاش‌شده می‌گیرند، این خانواده از معماری و تکنیک‌های خاص خود پیروی می‌کند.

خود را به عنوان یک اپلیکیشن بانکی معتبر لهستانی جا زده است

FvncBot تحت پوشش یک ابزار امنیتی قانونی از mBank منتشر می‌شود و مستقیماً کاربران بانکداری تلفن همراه در لهستان را هدف قرار می‌دهد. انتخاب این پوشش، همراه با عملکردی که برای دستکاری مالی طراحی شده است، قویاً نشان می‌دهد که اپراتورهای آن بر روی کمپین‌های کلاهبرداری بسیار هدفمند متمرکز هستند.

ویژگی‌های سفارشی برای کلاهبرداری مالی

این بدافزار شامل مجموعه‌ای گسترده از قابلیت‌های طراحی‌شده برای جمع‌آوری اطلاعات حساس و کنترل از راه دور دستگاه‌های آسیب‌دیده است. با سوءاستفاده از سرویس‌های دسترسی اندروید، کی‌لاگر اضافه می‌کند، حملات تزریق وب را اجرا می‌کند، محتوای صفحه را پخش می‌کند و از محاسبات شبکه مجازی پنهان (HVNC) برای تسهیل فعالیت‌های بانکی غیرمجاز استفاده می‌کند.

FvncBot برای محافظت به سرویس رمزگذاری apk0day از Golden Crypt متکی است. برنامه مخرب ارائه شده به کاربر صرفاً به عنوان یک بارگذار عمل می‌کند و بار داده جاسازی شده را مستقر می‌کند.

دور زدن محدودیت‌های مدرن اندروید

پس از اجرا، این بدافزار سعی می‌کند قربانیان را متقاعد کند که چیزی را که به نظر می‌رسد یک جزء گوگل پلی است، نصب کنند. این فرآیند در واقع یک ترفند مبتنی بر جلسه است که برای دور زدن محافظت‌های دسترسی در دستگاه‌های دارای اندروید ۱۳ و بالاتر استفاده می‌شود، تکنیکی که در سایر کمپین‌های اخیر نیز مشاهده شده است.

در طول عملیات، این بدافزار داده‌های لاگ را به سروری که در naleymilva.it.com میزبانی می‌شود ارسال می‌کند و به مهاجمان اجازه می‌دهد فعالیت ربات را در لحظه رصد کنند. متادیتای جاسازی‌شده توسط اپراتورها، مانند شناسه call_pl و نسخه ۱.۰‑P، لهستان را به عنوان هدف اولیه نشان می‌دهد و نشان می‌دهد که FvncBot هنوز در مراحل اولیه توسعه است.

ایجاد کنترل از طریق سوءاستفاده از دسترسی

پس از استقرار، این بدافزار از کاربر می‌خواهد مجوزهای دسترسی را اعطا کند. با افزایش امتیازات، از طریق HTTP با یک سرور خارجی تماس می‌گیرد تا دستگاه را ثبت کند و از Firebase Cloud Messaging (FCM) برای دریافت دستورات مداوم استفاده می‌کند.

قابلیت‌های اصلی

• در زیر برخی از توابع پشتیبانی شده اصلی آمده است:
• جلسات WebSocket را برای کنترل از راه دور آغاز یا خاتمه دهید، و امکان کشیدن انگشت، لمس کردن و پیمایش را فراهم کنید.

یکی از ویژگی‌های قابل توجه، یک «حالت متنی» تخصصی است که به مهاجمان اجازه می‌دهد حتی زمانی که برنامه‌ها از طریق تنظیم FLAG_SECURE مانع از گرفتن اسکرین‌شات می‌شوند، محتوای صفحه را تجزیه و تحلیل کنند. این امر امکان هدف‌گیری دقیق در طول تراکنش‌های جعلی را فراهم می‌کند.

توزیع هنوز مشخص نیست

روش فعلی آلوده‌سازی هنوز ناشناخته است. با این حال، تروجان‌های بانکی اندروید اغلب به کمپین‌های فیشینگ پیامکی و فروشگاه‌های اپلیکیشن غیررسمی متکی هستند و این امر، احتمال استفاده از این روش‌ها را برای این خانواده نیز افزایش می‌دهد.

تهدیدی رو به رشد که ممکن است فراتر از لهستان گسترش یابد

از آنجا که سرویس دسترسی اندروید، بینش عمیقی از فعالیت کاربر و امکان دستکاری محتوای روی صفحه نمایش ارائه می‌دهد، همچنان ابزاری قدرتمند برای مهاجمان است. اگرچه این نمونه بر کاربران لهستانی زبان تمرکز دارد، اما اپراتورهای آن می‌توانند به راحتی به مناطق جدید تغییر مکان دهند یا خود را به جای نهادهای دیگر جا بزنند.