FvncBot मोबाइल मैलवेयर

सुरक्षा विश्लेषकों ने FvncBot नामक एक अज्ञात एंड्रॉइड मैलवेयर स्ट्रेन की पहचान की है, जो पूरी तरह से नए सिरे से तैयार किया गया एक खतरनाक मैलवेयर है। कई आधुनिक बैंकिंग ट्रोजन के विपरीत, जो लीक हुए कोडबेस से अपनी क्षमताएं प्राप्त करते हैं, यह मैलवेयर परिवार अपनी स्वयं की संरचना और तकनीकों का अनुसरण करता है।

एक भरोसेमंद पोलिश बैंकिंग ऐप के रूप में भेस बदलकर

FvncBot, mBank के एक वैध सुरक्षा उपकरण के रूप में खुद को पेश करते हुए पोलैंड में मोबाइल बैंकिंग उपयोगकर्ताओं को सीधे तौर पर निशाना बना रहा है। इस तरह का भेष और वित्तीय हेरफेर के लिए तैयार की गई कार्यक्षमता स्पष्ट रूप से दर्शाती है कि इसके संचालक अत्यधिक लक्षित धोखाधड़ी अभियानों पर ध्यान केंद्रित कर रहे हैं।

वित्तीय धोखाधड़ी के लिए विशेष रूप से निर्मित सुविधाएँ

इस मैलवेयर में संवेदनशील जानकारी हासिल करने और प्रभावित उपकरणों को दूर से नियंत्रित करने के लिए डिज़ाइन की गई क्षमताओं का एक व्यापक समूह शामिल है। एंड्रॉइड की एक्सेसिबिलिटी सेवाओं का दुरुपयोग करके, यह कीलॉगिंग जोड़ता है, वेब-इंजेक्ट हमले करता है, स्क्रीन सामग्री स्ट्रीम करता है, और अनधिकृत बैंकिंग गतिविधि को सुविधाजनक बनाने के लिए छिपे हुए वर्चुअल नेटवर्क कंप्यूटिंग (एचवीएनसी) का लाभ उठाता है।

FvncBot सुरक्षा के लिए गोल्डन क्रिप्ट की apk0day क्रिप्टिंग सेवा पर निर्भर करता है। उपयोगकर्ता को दिखाई देने वाला दुर्भावनापूर्ण ऐप केवल एक लोडर के रूप में कार्य करता है, जो अंतर्निहित पेलोड को तैनात करता है।

आधुनिक एंड्रॉइड प्रतिबंधों को दरकिनार करना

लॉन्च होने के बाद, ड्रॉपर पीड़ितों को Google Play कंपोनेंट जैसा दिखने वाला कोई प्रोग्राम इंस्टॉल करने के लिए मनाने की कोशिश करता है। यह प्रक्रिया वास्तव में एक सेशन-आधारित चाल है जिसका उपयोग Android 13 और उसके बाद के संस्करणों पर चलने वाले उपकरणों पर एक्सेसिबिलिटी सुरक्षा को बायपास करने के लिए किया जाता है, यह तकनीक हाल के अन्य अभियानों में भी देखी गई है।

ऑपरेशन के दौरान, मैलवेयर naleymilva.it.com पर होस्ट किए गए सर्वर को लॉग डेटा भेजता है, जिससे हमलावर बॉट की गतिविधि को रियल टाइम में मॉनिटर कर सकते हैं। ऑपरेटरों द्वारा एम्बेड किया गया मेटाडेटा, जैसे कि आइडेंटिफ़ायर call_pl और वर्ज़न 1.0-P, पोलैंड को प्रारंभिक लक्ष्य के रूप में इंगित करता है और बताता है कि FvncBot अभी भी विकास के शुरुआती चरण में है।

पहुँच के दुरुपयोग के माध्यम से नियंत्रण स्थापित करना

तैनाती के बाद, मैलवेयर उपयोगकर्ता से पहुंच संबंधी अनुमतियां देने का अनुरोध करता है। उच्च विशेषाधिकार प्राप्त होने के बाद, यह डिवाइस को पंजीकृत करने के लिए HTTP के माध्यम से एक बाहरी सर्वर से संपर्क करता है और निरंतर आदेश प्राप्त करने के लिए फायरबेस क्लाउड मैसेजिंग (FCM) का उपयोग करता है।

मुख्य क्षमताएँ

• नीचे कुछ प्रमुख समर्थित कार्यों की सूची दी गई है:
• रिमोट कंट्रोल के लिए वेबसॉकेट सेशन शुरू या समाप्त करें, जिससे स्वाइप, टैप और स्क्रॉलिंग संभव हो सके।

एक उल्लेखनीय विशेषता इसका विशेष 'टेक्स्ट मोड' है, जो हमलावरों को स्क्रीन सामग्री का विश्लेषण करने की अनुमति देता है, भले ही ऐप्स FLAG_SECURE सेटिंग के माध्यम से स्क्रीनशॉट लेने से रोकते हों। इससे धोखाधड़ी वाले लेन-देन के दौरान सटीक लक्ष्यीकरण संभव हो पाता है।

वितरण अभी भी स्पष्ट नहीं है

वर्तमान में संक्रमण का तरीका अज्ञात है। हालांकि, एंड्रॉइड बैंकिंग ट्रोजन अक्सर एसएमएस फ़िशिंग अभियानों और अनौपचारिक ऐप स्टोर पर निर्भर करते हैं, जिससे यह संभावना बनती है कि ये इस वायरस परिवार के लिए भी संक्रमण के संभावित माध्यम हो सकते हैं।

एक बढ़ता खतरा जो पोलैंड से परे भी फैल सकता है

एंड्रॉइड की एक्सेसिबिलिटी सेवा उपयोगकर्ता की गतिविधि की गहन जानकारी और स्क्रीन पर मौजूद सामग्री में हेरफेर करने की क्षमता प्रदान करती है, इसलिए यह हमलावरों के लिए एक शक्तिशाली उपकरण बनी हुई है। हालांकि यह नमूना पोलिश भाषी उपयोगकर्ताओं पर केंद्रित है, लेकिन इसके संचालक आसानी से नए क्षेत्रों में जा सकते हैं या अन्य संस्थानों का रूप धारण कर सकते हैं।