הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית לנייד תוכנה זדונית למובייל של FvncBot

תוכנה זדונית למובייל של FvncBot

עד Mezo ב-תוכנה זדונית לנייד
לתרגם ל:

אנליסטים של אבטחה זיהו זן של נוזקה לאנדרואיד שלא היה מוכר קודם לכן, בשם FvncBot, שהוא איום שתוכנן כולו מאפס. בניגוד לטרויאנים בנקאיים מודרניים רבים שמקבלים את יכולותיהם מבסיסי קוד שדלפו, משפחה זו פועלת לפי ארכיטקטורה וטכניקות משלה.

במסווה של אפליקציית בנקאות פולנית מהימנה

FvncBot מתפשט תחת מסווה של כלי אבטחה לגיטימי של mBank, ומכוון ישירות למשתמשי בנקאות סלולרית בפולין. בחירת התחפושת, בשילוב עם פונקציונליות המותאמת למניפולציה פיננסית, מצביעה באופן חזק על כך שמפעיליה מתמקדים בקמפיינים ממוקדים ביותר של הונאה.

תכונות מותאמות אישית להונאות פיננסיות

התוכנה הזדונית כוללת חבילה מקיפה של יכולות שנועדו ללכוד מידע רגיש ולשלוט מרחוק במכשירים שנפרצו. על ידי ניצול לרעה של שירותי הנגישות של אנדרואיד, היא מוסיפה רישום מקשים (keylogging), מבצעת התקפות web-inject, מזרימה תוכן מסך וממנפת מחשוב רשת וירטואלי נסתר (HVNC) כדי להקל על פעילות בנקאית לא מורשית.

FvncBot מסתמך על שירות ההצפנה apk0day של Golden Crypt לצורך הגנה. האפליקציה הזדונית המוצגת למשתמש מתפקדת אך ורק כטוען, ופורסת את המטען המוטמע.

עקיפת מגבלות אנדרואיד מודרניות

לאחר ההשקה, ה-dropper מנסה לשכנע את הקורבנות להתקין מה שנראה כרכיב של Google Play. תהליך זה הוא למעשה טריק מבוסס-סשן המשמש לעקיפת הגנות נגישות במכשירים המריצים אנדרואיד 13 ואילך, טכניקה שנראתה בקמפיינים אחרים אחרונים.

במהלך הפעולה, הנוזקה שולחת נתוני יומן לשרת המתארח ב-naleymilva.it.com, מה שמאפשר לתוקפים לנטר את פעילות הבוטים בזמן אמת. מטא-נתונים המוטמעים על ידי המפעילים, כגון המזהה call_pl וגרסה 1.0‑P, מצביעים על פולין כמטרה הראשונית ומרמזים ש-FvncBot עדיין נמצא בשלבי פיתוח מוקדמים.

ביסוס שליטה באמצעות שימוש לרעה בנגישות

לאחר הפריסה, התוכנה הזדונית מבקשת מהמשתמש להעניק הרשאות נגישות. לאחר שההרשאות מוגברות מאובטחות, היא יוצרת קשר עם שרת חיצוני דרך HTTP כדי לרשום את המכשיר ומשתמשת ב-Firebase Cloud Messaging (FCM) כדי לקבל פקודות שוטפות.

יכולות ליבה

  • להלן כמה מהפונקציות הנתמכות העיקריות:
  • התחל או סיים הפעלות WebSocket לשליטה מרחוק, תוך הפעלת החלקות, הקשה וגלילה.
  • העברת יומני נגישות, רשימות אפליקציות מותקנות ומידע על מכשירים למפעילים.
  • הצגה או הסתרה של שכבות-על במסך מלא לצורך גניבת נתונים.
  • ספק שכבות-על זדוניות שנוצרו עבור יישומים בנקאיים ספציפיים.
  • אימות סטטוס הנגישות ורישום הקשות מקלדת.
  • אחזור הוראות ממתינות משרת הפקודות.
  • הזרם את מסך המכשיר באמצעות ממשק ה-API של MediaProjection.
  • התגברות על מגבלות צילום מסך בעזרת 'מצב טקסט'.

    • תכונה בולטת אחת היא 'מצב טקסט' מיוחד המאפשר לתוקפים לנתח את תוכן המסך גם כאשר אפליקציות מונעות צילומי מסך באמצעות ההגדרה FLAG_SECURE. זה מאפשר מיקוד מדויק במהלך עסקאות הונאה.

    ההפצה עדיין לא ברורה

    שיטת ההדבקה הנוכחית נותרה לא ידועה. עם זאת, טרויאנים לבנקאות אנדרואיד מסתמכים לעתים קרובות על קמפיינים של פישינג ב-SMS וחנויות אפליקציות לא רשמיות, מה שהופך אותם לווקטורים סבירים גם עבור משפחה זו.

    איום גובר שעשוי להתרחב מעבר לפולין

    מכיוון ששירות הנגישות של אנדרואיד מספק תובנות מעמיקות לגבי פעילות המשתמשים ויכולת לתפעל תוכן על המסך, הוא נותר כלי רב עוצמה עבור תוקפים. למרות שדוגמה זו מתמקדת במשתמשים דוברי פולנית, מפעיליו יכולים בקלות לעבור לאזורים חדשים או להתחזות למוסדות אחרים.

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    30,542
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...