FvncBot - mobilni zlonamjerni softver
Sigurnosni analitičari identificirali su prethodno nepoznatu vrstu zlonamjernog softvera za Android, nazvanu FvncBot, prijetnju u potpunosti osmišljenu od nule. Za razliku od mnogih modernih bankarskih trojanaca koji svoje mogućnosti izvode iz procurjelih kodnih baza, ova obitelj slijedi vlastitu arhitekturu i tehnike.
Sadržaj
Prerušeno u pouzdanu poljsku bankarsku aplikaciju
FvncBot se širi pod krinkom legitimnog sigurnosnog alata tvrtke mBank, ciljajući izravno na korisnike mobilnog bankarstva u Poljskoj. Izbor maske, uparen s funkcionalnošću prilagođenom financijskim manipulacijama, snažno ukazuje na to da su njegovi operateri usmjereni na visoko ciljane kampanje prijevara.
Prilagođene značajke za financijske prijevare
Zlonamjerni softver uključuje opsežan skup mogućnosti osmišljenih za hvatanje osjetljivih informacija i daljinsko upravljanje kompromitiranim uređajima. Zloupotrebom Androidovih usluga pristupačnosti, dodaje keylogging, izvršava web-inject napade, struji sadržaj zaslona i koristi skriveno virtualno mrežno računalstvo (HVNC) za olakšavanje neovlaštenih bankarskih aktivnosti.
FvncBot se za zaštitu oslanja na uslugu šifriranja apk0day tvrtke Golden Crypt. Zlonamjerna aplikacija predstavljena korisniku funkcionira samo kao program za učitavanje, implementirajući ugrađeni korisni teret.
Zaobilaženje modernih ograničenja Androida
Nakon pokretanja, alat za umetanje pokušava nagovoriti žrtve da instaliraju ono što se čini kao komponenta Google Playa. Ovaj proces je zapravo trik temeljen na sesiji koji se koristi za zaobilaženje zaštita pristupačnosti na uređajima s Androidom 13 i novijim verzijama, tehnika viđena u drugim nedavnim kampanjama.
Tijekom rada, zlonamjerni softver šalje podatke zapisnika na poslužitelj smješten na naleymilva.it.com, omogućujući napadačima praćenje aktivnosti bota u stvarnom vremenu. Metapodaci koje su ugradili operateri, poput identifikatora call_pl i verzije 1.0‑P, upućuju na Poljsku kao početnu metu i sugeriraju da je FvncBot još uvijek u ranoj fazi razvoja.
Uspostavljanje kontrole putem zloupotrebe pristupačnosti
Nakon implementacije, zlonamjerni softver traži od korisnika da odobri dopuštenja za pristup. S osiguranim povišenim privilegijama, kontaktira vanjski poslužitelj putem HTTP-a kako bi registrirao uređaj i koristi Firebase Cloud Messaging (FCM) za primanje tekućih naredbi.
Osnovne sposobnosti
- U nastavku su navedene neke od primarnih podržanih funkcija:
- Pokretanje ili prekidanje WebSocket sesija za daljinsko upravljanje, omogućavanje prevlačenja, dodirivanja i pomicanja.
- Prosljeđujte zapisnike pristupačnosti, popise instaliranih aplikacija i informacije o uređaju operaterima.
- Prikažite ili sakrijte prekrivač preko cijelog zaslona radi krađe podataka.
- Isporuka zlonamjernih slojeva izrađenih za specifične bankarske aplikacije.
- Provjerite status pristupačnosti i zabilježite pritiske tipki.
- Dohvati čekajuće instrukcije s naredbenog poslužitelja.
- Streamajte zaslon uređaja pomoću MediaProjection API-ja.
- Prevladavanje ograničenja snimki zaslona pomoću 'tekstualnog načina rada'.
Jedna značajna značajka je specijalizirani 'tekstualni način rada' koji omogućuje napadačima analizu sadržaja zaslona čak i kada aplikacije sprječavaju snimke zaslona putem postavke FLAG_SECURE. To omogućuje precizno ciljanje tijekom lažnih transakcija.
Distribucija još uvijek nejasna
Trenutna metoda zaraze ostaje nepoznata. Međutim, Android bankarski trojanci često se oslanjaju na SMS phishing kampanje i neslužbene trgovine aplikacija, što ih čini vjerojatnim vektorima i za ovu obitelj.
Rastuća prijetnja koja bi se mogla proširiti izvan Poljske
Budući da Androidova usluga pristupačnosti pruža dubok uvid u korisničku aktivnost i mogućnost manipuliranja sadržajem na zaslonu, ona ostaje moćan alat za napadače. Iako se ovaj uzorak fokusira na korisnike koji govore poljski, njezini operateri mogli bi se lako prebaciti na nove regije ili se lažno predstavljati kao druge institucije.
