FvncBot mobilo ierīču ļaunprogrammatūra
Drošības analītiķi ir identificējuši iepriekš nezināmu Android ļaunprogrammatūras paveidu ar nosaukumu FvncBot, kas ir pilnībā no nulles izstrādāts apdraudējums. Atšķirībā no daudziem mūsdienu banku Trojas zirgiem, kas savas spējas iegūst no nopludinātām koda bāzēm, šī saime izmanto savu arhitektūru un metodes.
Satura rādītājs
Slēpta kā uzticama Polijas banku lietotne
FvncBot izplatās, aizbildinoties ar likumīgu mBank drošības rīku, tieši vēršoties pret mobilās bankas lietotājiem Polijā. Izvēlētā maskēšanās apvienojumā ar finanšu manipulācijām pielāgotu funkcionalitāti skaidri norāda, ka tā operatori koncentrējas uz ļoti mērķētām krāpšanas kampaņām.
Pielāgotas funkcijas finanšu krāpšanas apkarošanai
Ļaunprogrammatūra ietver plašu iespēju klāstu, kas paredzēts sensitīvas informācijas uztveršanai un apdraudētu ierīču attālinātai vadīšanai. Ļaunprātīgi izmantojot Android pieejamības pakalpojumus, tā pievieno taustiņu nospiešanas fiksēšanu, veic tīmekļa injekciju uzbrukumus, straumē ekrāna saturu un izmanto slēpto virtuālo tīkla skaitļošanu (HVNC), lai veicinātu neatļautas banku darbības.
FvncBot aizsardzībai izmanto Golden Crypt šifrēšanas pakalpojumu apk0day. Lietotājam parādītā ļaunprātīgā lietotne darbojas tikai kā ielādētājs, izvietojot iegulto vērtumu.
Mūsdienu Android ierobežojumu apiešana
Kad pilinātājs ir palaists, tas mēģina pārliecināt upurus instalēt kaut ko, kas šķiet Google Play komponents. Šis process patiesībā ir uz sesiju balstīts triks, ko izmanto, lai apietu pieejamības aizsardzību ierīcēs ar Android 13 un jaunāku versiju, un šī metode ir redzēta citās nesenās kampaņās.
Darbības laikā ļaunprogrammatūra nosūta žurnāla datus uz serveri, kas atrodas vietnē naleymilva.it.com, ļaujot uzbrucējiem reāllaikā uzraudzīt robotprogrammatūras darbību. Operatoru iegultie metadati, piemēram, identifikators call_pl un versija 1.0‑P, norāda uz Poliju kā sākotnējo mērķi un liek domāt, ka FvncBot joprojām ir agrīnā izstrādes stadijā.
Kontroles nodrošināšana, izmantojot pieejamības ļaunprātīgu izmantošanu
Pēc izvietošanas ļaunprogrammatūra aicina lietotāju piešķirt piekļuves atļaujas. Ar nodrošinātām paaugstinātām privilēģijām tā sazinās ar ārēju serveri, izmantojot HTTP, lai reģistrētu ierīci, un izmanto Firebase mākoņziņapmaiņu (FCM), lai saņemtu notiekošās komandas.
Galvenās iespējas
- Tālāk ir norādītas dažas no galvenajām atbalstītajām funkcijām:
- Uzsākt vai pārtraukt WebSocket sesijas attālinātai vadībai, iespējojot vilkšanas, pieskārienu un ritināšanas kustības.
- Pārsūtīt piekļuves žurnālus, instalēto lietotņu sarakstus un ierīces informāciju operatoriem.
- Parādiet vai paslēpiet pilnekrāna pārklājumus datu zādzības novēršanai.
- Piegādāt ļaunprātīgus pārklājumus, kas izstrādāti konkrētām banku lietojumprogrammām.
- Validēt pieejamības statusu un reģistrēt taustiņsitienu skaitu.
- Iegūt no komandu servera neapstiprinātas instrukcijas.
- Straumējiet ierīces ekrānu, izmantojot MediaProjection API.
- Ekrānuzņēmumu ierobežojumu pārvarēšana ar teksta režīmu.
Viena ievērojama funkcija ir specializēts “teksta režīms”, kas ļauj uzbrucējiem analizēt ekrāna saturu pat tad, ja lietotnes, izmantojot iestatījumu FLAG_SECURE, liedz ekrānuzņēmumus. Tas nodrošina precīzu mērķēšanu krāpniecisku darījumu laikā.
Izplatīšana joprojām nav skaidra
Pašreizējā inficēšanās metode joprojām nav zināma. Tomēr Android banku Trojas zirgi bieži izmanto īsziņu pikšķerēšanas kampaņas un neoficiālus lietotņu veikalus, padarot tos par iespējamiem šīs saimes pārnēsātājiem.
Pieaugošs drauds, kas var izplatīties ārpus Polijas
Tā kā Android pieejamības pakalpojums sniedz dziļu ieskatu lietotāju aktivitātēs un iespēju manipulēt ar ekrāna saturu, tas joprojām ir spēcīgs instruments uzbrucējiem. Lai gan šis paraugs koncentrējas uz poļu valodā runājošiem lietotājiem, tā operatori varētu viegli pārslēgties uz jauniem reģioniem vai uzdoties par citām iestādēm.
