FvncBot 모바일 악성코드
보안 분석가들은 FvncBot이라는 이름의 새로운 안드로이드 악성코드 변종을 발견했는데, 이는 완전히 새롭게 설계된 위협 요소입니다. 유출된 코드베이스를 기반으로 기능을 구현하는 많은 최신 뱅킹 트로이목마와는 달리, 이 악성코드 계열은 자체적인 아키텍처와 기법을 따릅니다.
목차
신뢰할 수 있는 폴란드 은행 앱으로 위장
FvncBot은 mBank의 합법적인 보안 도구로 위장하여 폴란드의 모바일 뱅킹 사용자들을 직접적으로 노리고 있습니다. 이러한 위장과 금융 거래 조작에 특화된 기능은 운영자들이 고도로 표적화된 사기 캠페인에 집중하고 있음을 강력하게 시사합니다.
금융 사기 방지를 위한 맞춤형 기능
이 악성 소프트웨어는 민감한 정보를 탈취하고 감염된 기기를 원격으로 제어하도록 설계된 광범위한 기능을 포함하고 있습니다. 안드로이드의 접근성 서비스를 악용하여 키로깅, 웹 인젝션 공격, 화면 콘텐츠 스트리밍, 그리고 숨겨진 가상 네트워크 컴퓨팅(HVNC)을 활용하여 무단 금융 거래를 용이하게 합니다.
FvncBot은 Golden Crypt의 apk0day 암호화 서비스를 사용하여 보호됩니다. 사용자에게 표시되는 악성 앱은 내장된 페이로드를 배포하는 로더 역할만 합니다.
최신 안드로이드 제한 우회하기
일단 실행되면, 이 드로퍼는 피해자에게 구글 플레이 스토어 구성 요소처럼 보이는 것을 설치하도록 유도합니다. 하지만 실제로는 안드로이드 13 이상 버전을 실행하는 기기의 접근성 보호 기능을 우회하는 데 사용되는 세션 기반 트릭이며, 최근 다른 공격 캠페인에서도 발견된 수법입니다.
악성 프로그램은 작동 중에 naleymilva.it.com에 호스팅된 서버로 로그 데이터를 전송하여 공격자가 봇 활동을 실시간으로 모니터링할 수 있도록 합니다. 운영자가 삽입한 메타데이터(예: call_pl 식별자 및 1.0-P 버전)는 폴란드가 초기 공격 대상이었음을 시사하며, FvncBot이 아직 개발 초기 단계에 있음을 나타냅니다.
접근성 악용을 통한 통제력 확보
악성 프로그램은 배포 후 사용자에게 접근 권한을 요청합니다. 권한이 상승되면 HTTP를 통해 외부 서버에 접속하여 기기를 등록하고 Firebase Cloud Messaging(FCM)을 사용하여 지속적인 명령을 수신합니다.
핵심 역량
- 다음은 지원되는 주요 기능 중 일부입니다.
- 원격 제어를 위한 WebSocket 세션을 시작하거나 종료하여 스와이프, 탭, 스크롤 기능을 활성화합니다.
주목할 만한 기능 중 하나는 공격자가 FLAG_SECURE 설정을 통해 앱의 스크린샷 방지 기능이 작동하더라도 화면 내용을 분석할 수 있도록 하는 특수 '텍스트 모드'입니다. 이를 통해 사기 거래 시 정확한 타겟팅이 가능해집니다.
배급 방식은 아직 불확실합니다.
현재 감염 경로는 정확히 알려지지 않았습니다. 하지만 안드로이드 뱅킹 트로이목마는 주로 SMS 피싱 캠페인과 비공식 앱 스토어를 이용하기 때문에, 이 악성 프로그램 역시 이러한 경로를 통해 감염될 가능성이 높습니다.
폴란드를 넘어 확산될 수 있는 위협이 커지고 있다
안드로이드의 접근성 서비스는 사용자 활동에 대한 심층적인 정보를 제공하고 화면 콘텐츠를 조작할 수 있기 때문에 공격자에게 강력한 도구로 남아 있습니다. 이 예시는 폴란드어 사용자를 대상으로 하지만, 공격자는 다른 지역으로 이동하거나 다른 기관을 사칭할 수도 있습니다.
