FvncBot mobil kártevő

Biztonsági elemzők azonosítottak egy korábban ismeretlen Android kártevő törzset, az FvncBot-ot, amely egy teljesen új, teljesen új fenyegetés. Sok modern banki trójaival ellentétben, amelyek kiszivárgott kódbázisokból merítik képességeiket, ez a család saját architektúrát és technikákat követ.

Megbízható lengyel banki alkalmazásnak álcázva

Az FvncBot egy legitim mBank biztonsági eszköz álcája alatt terjed, és kifejezetten a lengyelországi mobilbanki felhasználókat veszi célba. Az álcázás megválasztása, párosulva a pénzügyi manipulációra szabott funkcionalitással, erősen arra utal, hogy üzemeltetői célzott csalási kampányokra összpontosítanak.

Egyedi fejlesztésű funkciók pénzügyi csalásokhoz

A rosszindulatú program számos képességgel rendelkezik, amelyek célja az érzékeny információk rögzítése és a feltört eszközök távoli vezérlése. Az Android akadálymentesítési szolgáltatásainak visszaélésével billentyűnaplózást végez, webes injekciós támadásokat hajt végre, képernyőtartalmakat streamel, és rejtett virtuális hálózati számítástechnikát (HVNC) használ a jogosulatlan banki tevékenységek megkönnyítésére.

Az FvncBot a Golden Crypt apk0day titkosítási szolgáltatására támaszkodik a védelem érdekében. A felhasználónak bemutatott rosszindulatú alkalmazás csupán betöltőként működik, és a beágyazott hasznos adatot telepíti.

A modern Android-korlátozások megkerülése

Elindulása után a dropper megpróbálja rávenni az áldozatokat, hogy telepítsenek egy látszólag Google Play-összetevőt. Ez a folyamat valójában egy munkamenet-alapú trükk, amelyet az Android 13-as és újabb rendszerű eszközök akadálymentesítési védelmének megkerülésére használnak, ezt a technikát más, nemrégiben megjelent kampányokban is láthattuk.

Működés közben a rosszindulatú program naplóadatokat küld a naleymilva.it.com címen üzemeltetett szerverre, lehetővé téve a támadók számára, hogy valós időben figyeljék a botok tevékenységét. Az operátorok által beágyazott metaadatok, mint például a call_pl azonosító és az 1.0‑P verzió, Lengyelországra mutatnak, mint kezdeti célpontra, és arra utalnak, hogy az FvncBot még a fejlesztés korai szakaszában van.

Kontroll létrehozása az akadálymentesítési visszaélések révén

A telepítés után a rosszindulatú program felszólítja a felhasználót, hogy adjon hozzáférési engedélyeket. Magasabb szintű jogosultságok birtokában HTTP-n keresztül kapcsolatba lép egy külső szerverrel az eszköz regisztrálásához, és Firebase Cloud Messaging (FCM) szolgáltatást használ a folyamatban lévő parancsok fogadásához.

Alapvető képességek

• Az alábbiakban néhány elsődlegesen támogatott funkciót láthat:
• WebSocket-munkamenetek indítása vagy leállítása távoli vezérléshez, lehetővé téve a pöccintést, koppintást és görgetést.
• Továbbítsa az akadálymentesítési naplókat, a telepített alkalmazások listáit és az eszközinformációkat az operátoroknak.

• Teljes képernyős átfedések megjelenítése vagy elrejtése adatlopás esetén.

• Rosszindulatú, meghatározott banki alkalmazásokhoz létrehozott átfedéseket küldhet.

• Akadálymentesítési állapot ellenőrzése és billentyűleütések naplózása.

• Függőben lévő utasítások lekérése a parancskiszolgálóról.

• Az eszköz képernyőjének streamelése a MediaProjection API használatával.

• Képernyőkép-korlátozások leküzdése a „Szöveges móddal”.

Az egyik figyelemre méltó funkció egy speciális „szöveges mód”, amely lehetővé teszi a támadók számára a képernyő tartalmának elemzését akkor is, ha az alkalmazások a FLAG_SECURE beállítással letiltják a képernyőképeket. Ez lehetővé teszi a pontos célzást a csalárd tranzakciók során.

Az eloszlás még mindig nem világos

A jelenlegi fertőzési módszer továbbra sem ismert. Az Androidos banki trójaiak azonban gyakran SMS-ben indított adathalász kampányokra és nem hivatalos alkalmazásboltokra támaszkodnak, így ezek valószínűsíthető vektorok e család számára is.

Egy növekvő fenyegetés, amely Lengyelországon túlra is kiterjedhet

Mivel az Android akadálymentesítési szolgáltatása mélyreható betekintést nyújt a felhasználói tevékenységekbe, és képes manipulálni a képernyőn megjelenő tartalmat, továbbra is hatékony eszköz a támadók számára. Bár ez a minta a lengyelül beszélő felhasználókra összpontosít, az üzemeltetők könnyen átválthatnak új régiókra, vagy más intézményeknek adhatják ki magukat.