Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Malware mobile FvncBot

Malware mobile FvncBot

Entro Mezo nel Malware per dispositivi mobili
Traduci in:

Gli analisti della sicurezza hanno identificato un ceppo di malware Android precedentemente sconosciuto, denominato FvncBot, una minaccia progettata interamente da zero. A differenza di molti moderni trojan bancari che traggono le loro capacità da basi di codice trapelate, questa famiglia segue una propria architettura e tecniche.

Travestita da app bancaria polacca affidabile

FvncBot si diffonde sotto le mentite spoglie di un legittimo strumento di sicurezza di mBank, mirando direttamente agli utenti di mobile banking in Polonia. La scelta del camuffamento, abbinata a funzionalità pensate appositamente per la manipolazione finanziaria, indica chiaramente che i suoi operatori sono concentrati su campagne fraudolente altamente mirate.

Funzionalità personalizzate per le frodi finanziarie

Il malware include un'ampia gamma di funzionalità progettate per catturare informazioni sensibili e controllare da remoto i dispositivi compromessi. Abusando dei servizi di accessibilità di Android, aggiunge keylogging, esegue attacchi web-inject, trasmette in streaming contenuti dello schermo e sfrutta l'HVNC (Hidden Virtual Network Computing) per facilitare attività bancarie non autorizzate.

FvncBot si affida al servizio di crittografia apk0day di Golden Crypt per la protezione. L'app dannosa presentata all'utente funziona semplicemente come un loader, distribuendo il payload incorporato.

Bypassare le restrizioni moderne di Android

Una volta avviato, il dropper tenta di convincere le vittime a installare quello che sembra un componente di Google Play. Questo processo è in realtà un trucco basato sulla sessione utilizzato per aggirare le protezioni di accessibilità sui dispositivi con Android 13 e versioni successive, una tecnica già vista in altre campagne recenti.

Durante l'esecuzione, il malware invia dati di log a un server ospitato su naleymilva.it.com, consentendo agli aggressori di monitorare l'attività del bot in tempo reale. I metadati incorporati dagli operatori, come l'identificatore call_pl e la versione 1.0-P, indicano la Polonia come obiettivo iniziale e suggeriscono che FvncBot sia ancora in una fase iniziale di sviluppo.

Stabilire il controllo attraverso l’abuso dell’accessibilità

Dopo l'implementazione, il malware chiede all'utente di concedere i permessi di accessibilità. Una volta ottenuti privilegi elevati, contatta un server esterno tramite HTTP per registrare il dispositivo e utilizza Firebase Cloud Messaging (FCM) per ricevere i comandi in corso.

Capacità principali

  • Di seguito sono elencate alcune delle principali funzioni supportate:
  • Avvia o termina sessioni WebSocket per il controllo remoto, abilitando scorrimenti, tocchi e altro.
  • Inoltrare agli operatori i registri di accessibilità, gli elenchi delle app installate e le informazioni sui dispositivi.
  • Visualizza o nascondi le sovrapposizioni a schermo intero per evitare il furto di dati.
  • Fornire sovrapposizioni dannose create appositamente per applicazioni bancarie specifiche.
  • Convalida lo stato di accessibilità e registra le sequenze di tasti premuti.
  • Recupera le istruzioni in sospeso dal server di comando.
  • Trasmetti in streaming lo schermo del dispositivo utilizzando l'API MediaProjection.
  • Superare le restrizioni degli screenshot con la "Modalità testo".

Una caratteristica degna di nota è una "modalità testo" specializzata che consente agli aggressori di analizzare il contenuto dello schermo anche quando le app impediscono gli screenshot tramite l'impostazione FLAG_SECURE. Ciò consente un targeting preciso durante le transazioni fraudolente.

Distribuzione ancora poco chiara

L'attuale metodo di infezione rimane sconosciuto. Tuttavia, i trojan bancari per Android sfruttano spesso campagne di phishing tramite SMS e app store non ufficiali, rendendoli probabili vettori anche per questa famiglia.

Una minaccia crescente che potrebbe estendersi oltre la Polonia

Poiché il servizio di accessibilità di Android fornisce informazioni approfondite sull'attività degli utenti e la possibilità di manipolare i contenuti sullo schermo, rimane uno strumento potente per gli aggressori. Sebbene questo esempio si concentri su utenti di lingua polacca, i suoi operatori potrebbero facilmente passare a nuove regioni o impersonare altre istituzioni.

Tendenza

I più visti

Caricamento in corso...