FvncBot-mobiilihaittaohjelma
Tietoturva-analyytikot ovat tunnistaneet aiemmin tuntemattoman Android-haittaohjelmatyypin nimeltä FvncBot, joka on kokonaan alusta alkaen suunniteltu uhka. Toisin kuin monet nykyaikaiset pankkitroijalaiset, jotka saavat kykynsä vuotaneista koodikannoista, tämä haittaohjelmaperhe noudattaa omaa arkkitehtuuriaan ja tekniikoitaan.
Sisällysluettelo
Naamioitu luotettavaksi puolalaiseksi pankkisovellukseksi
FvncBot leviää mBankin laillisen turvatyökalun varjolla ja kohdistaa toimintansa suoraan Puolan mobiilipankkikäyttäjiin. Naamiointi yhdistettynä taloudelliseen manipulointiin räätälöityihin toimintoihin osoittaa vahvasti, että sen operaattorit keskittyvät tarkasti kohdennettuihin huijauskampanjoihin.
Mukautetut ominaisuudet talouspetoksiin
Haittaohjelma sisältää laajan valikoiman ominaisuuksia, jotka on suunniteltu kaappaamaan arkaluonteisia tietoja ja etäohjaamaan vaarantuneita laitteita. Väärinkäyttämällä Androidin esteettömyyspalveluita se lisää näppäinpainallusten tallentamista, suorittaa verkkohyökkäyksiä, suoratoistaa näytön sisältöä ja hyödyntää piilotettua virtuaaliverkkolaskentaa (HVNC) luvattoman pankkitoiminnan helpottamiseksi.
FvncBot käyttää suojakseen Golden Cryptin apk0day-kryptauspalvelua. Käyttäjälle esitetty haitallinen sovellus toimii vain lataajana, joka ottaa käyttöön upotetun hyötykuorman.
Nykyaikaisten Android-rajoitusten ohittaminen
Käynnistyksen jälkeen dropper yrittää suostutella uhreja asentamaan Google Playn komponentin. Tämä prosessi on itse asiassa istuntopohjainen temppu, jota käytetään ohittamaan esteettömyyssuojaukset laitteilla, joissa on Android 13 tai uudempi. Tekniikkaa on nähty myös muissa viimeaikaisissa kampanjoissa.
Toiminnan aikana haittaohjelma lähettää lokitietoja naleymilva.it.com-sivustolla sijaitsevalle palvelimelle, minkä ansiosta hyökkääjät voivat seurata bottien toimintaa reaaliajassa. Operaattoreiden upottamat metatiedot, kuten tunniste call_pl ja versio 1.0‑P, viittaavat Puolaan alkuperäisenä kohteena ja viittaavat siihen, että FvncBotin kehitys on vielä alkuvaiheessa.
Kontrollin luominen esteettömyyden väärinkäytön kautta
Asennuksen jälkeen haittaohjelma pyytää käyttäjää myöntämään käyttöoikeudet. Kun laitteelle on määritetty laajennetut käyttöoikeudet, se ottaa yhteyttä ulkoiseen palvelimeen HTTP:n kautta rekisteröidäkseen laitteen ja vastaanottaakseen käynnissä olevia komentoja Firebase Cloud Messagingin (FCM) avulla.
Ydinominaisuudet
- Alla on joitakin ensisijaisesti tuettuja toimintoja:
- Käynnistää tai lopettaa WebSocket-istuntoja etähallintaa varten, jolloin pyyhkäisyt, napautukset ja vieritys ovat mahdollisia.
- Lähetä esteettömyyslokit, asennettujen sovellusten luettelot ja laitetiedot operaattoreille.
- Näytä tai piilota koko näytön peittokuvat tietovarkauksien varalta.
- Toimita tiettyjä pankkisovelluksia varten suunniteltuja haitallisia peittokuvia.
- Vahvista esteettömyystila ja kirjaa näppäinpainallukset.
- Hae odottavat ohjeet komentopalvelimelta.
- Suoratoista laitteen näyttöä MediaProjection-rajapinnan avulla.
- Kuvakaappausrajoitusten voittaminen tekstitilan avulla.
Yksi huomionarvoinen ominaisuus on erityinen tekstitila, jonka avulla hyökkääjät voivat analysoida näytön sisältöä, vaikka sovellukset estäisivät kuvakaappausten ottamisen FLAG_SECURE-asetuksen kautta. Tämä mahdollistaa tarkan kohdistamisen vilpillisten tapahtumien aikana.
Jakautuminen edelleen epäselvä
Nykyinen tartuntatapa on edelleen tuntematon. Android-pankkitroijalaiset kuitenkin käyttävät usein tekstiviestipohjaisia tietojenkalastelukampanjoita ja epävirallisia sovelluskauppoja, mikä tekee niistä myös tämän virusperheen todennäköisiä tartuntalähteitä.
Kasvava uhka, joka voi levitä Puolan ulkopuolelle
Koska Androidin esteettömyyspalvelu tarjoaa syvällisen käsityksen käyttäjien toiminnasta ja mahdollisuuden muokata näytön sisältöä, se on edelleen tehokas työkalu hyökkääjille. Vaikka tämä esimerkki keskittyy puolankielisiin käyttäjiin, sen operaattorit voivat helposti siirtyä uusille alueille tai esiintyä muina instituutioina.
