„FvncBot“ mobiliųjų įrenginių kenkėjiška programa
Saugumo analitikai nustatė anksčiau nežinomą „Android“ kenkėjiškos programos atmainą „FvncBot“ – visiškai nuo nulio sukurtą grėsmę. Skirtingai nuo daugelio šiuolaikinių bankinių Trojos arklių, kurie savo galimybes semiasi iš nutekintų kodų bazių, ši šeima vadovaujasi savo architektūra ir metodais.
Turinys
Užmaskuota kaip patikima Lenkijos bankininkystės programėlė
„FvncBot“ plinta prisidengdamas teisėta „mBank“ saugumo priemone ir yra tiesiogiai nukreiptas į mobiliosios bankininkystės naudotojus Lenkijoje. Pasirinktas maskavimas kartu su finansiniam manipuliavimui pritaikytomis funkcijomis aiškiai rodo, kad jo operatoriai daugiausia dėmesio skiria itin tikslinėms sukčiavimo kampanijoms.
Individualiai sukurtos funkcijos finansiniam sukčiavimui
Kenkėjiška programa apima platų funkcijų rinkinį, skirtą slaptai informacijai rinkti ir pažeistiems įrenginiams nuotoliniu būdu valdyti. Piktnaudžiaudama „Android“ pritaikymo neįgaliesiems paslaugomis, ji prideda klavišų paspaudimų registravimą, vykdo žiniatinklio injekcijų atakas, transliuoja ekrano turinį ir naudoja paslėptą virtualų tinklo skaičiavimą (HVNC), kad palengvintų neteisėtą bankininkystės veiklą.
„FvncBot“ apsaugai naudoja „Golden Crypt“ šifravimo paslaugą „apk0day“. Naudotojui pateikta kenkėjiška programa veikia tik kaip įkrovos programa, diegianti įterptąją naudingąją apkrovą.
Šiuolaikinių „Android“ apribojimų apėjimas
Paleistas virusas bando įtikinti aukas įdiegti tai, kas atrodo kaip „Google Play“ komponentas. Šis procesas iš tikrųjų yra sesijos pagrindu veikianti gudrybė, naudojama apeiti pritaikymo neįgaliesiems apsaugas įrenginiuose, kuriuose veikia „Android 13“ ir naujesnės versijos – technika, pastebėta ir kitose neseniai vykusiose kampanijose.
Veikimo metu kenkėjiška programa siunčia žurnalo duomenis į serverį, esantį adresu naleymilva.it.com, leisdama užpuolikams stebėti robotų veiklą realiuoju laiku. Operatorių įterpti metaduomenys, tokie kaip identifikatorius call_pl ir 1.0‑P versija, nurodo Lenkiją kaip pradinį taikinį ir leidžia manyti, kad „FvncBot“ vis dar yra ankstyvoje kūrimo stadijoje.
Kontrolės nustatymas piktnaudžiaujant prieinamumu
Po diegimo kenkėjiška programa paragina vartotoją suteikti prieigos teises. Gavusi padidintas teises, ji susisiekia su išoriniu serveriu per HTTP, kad užregistruotų įrenginį, ir naudoja „Firebase Cloud Messaging“ (FCM), kad gautų nuolatines komandas.
Pagrindinės galimybės
- Žemiau pateikiamos kelios pagrindinės palaikomos funkcijos:
- Pradėkite arba nutraukite „WebSocket“ sesijas nuotoliniam valdymui, įgalindami braukimus, bakstelėjimus ir slinkimą.
Viena pastebima funkcija yra specializuotas „teksto režimas“, leidžiantis užpuolikams analizuoti ekrano turinį net tada, kai programos neleidžia daryti ekrano kopijų per FLAG_SECURE nustatymą. Tai leidžia tiksliai nukreipti atakas atliekant nesąžiningas operacijas.
Pasiskirstymas vis dar neaiškus
Dabartinis užkrėtimo būdas lieka nežinomas. Tačiau „Android“ bankininkystės Trojos arkliai dažnai naudojasi SMS sukčiavimo kampanijomis ir neoficialiomis programėlių parduotuvėmis, todėl tai yra tikėtini šios šeimos vektoriai.
Auganti grėsmė, kuri gali išplisti už Lenkijos ribų
Kadangi „Android“ pritaikymo neįgaliesiems paslauga suteikia išsamių įžvalgų apie naudotojų veiklą ir galimybę manipuliuoti ekrano turiniu, ji išlieka galingu įrankiu užpuolikams. Nors ši imtis orientuota į lenkiškai kalbančius naudotojus, jos operatoriai gali lengvai pereiti prie naujų regionų arba apsimesti kitomis institucijomis.
