Perisian Hasad Mudah Alih FvncBot

Penganalisis keselamatan telah mengenal pasti strain malware Android yang tidak diketahui sebelum ini, bernama FvncBot, yang merupakan ancaman yang direkayasa sepenuhnya dari awal. Tidak seperti kebanyakan trojan perbankan moden yang memperoleh keupayaan mereka daripada pangkalan kod yang bocor, keluarga ini mengikuti seni bina dan tekniknya sendiri.

Menyamar sebagai Aplikasi Perbankan Poland Dipercayai

FvncBot tersebar di bawah samaran alat keselamatan yang sah daripada mBank, menyasarkan tepat kepada pengguna perbankan mudah alih di Poland. Pilihan penyamaran, dipadankan dengan fungsi yang disesuaikan untuk manipulasi kewangan, menunjukkan dengan jelas bahawa pengendalinya memberi tumpuan kepada kempen penipuan yang sangat disasarkan.

Ciri Dibina Tersuai untuk Penipuan Kewangan

Perisian hasad termasuk rangkaian luas keupayaan yang direka untuk menangkap maklumat sensitif dan mengawal peranti yang terjejas dari jauh. Dengan menyalahgunakan perkhidmatan kebolehcapaian Android, ia menambahkan pengelogan kunci, melaksanakan serangan suntikan web, menstrim kandungan skrin dan memanfaatkan pengkomputeran rangkaian maya tersembunyi (HVNC) untuk memudahkan aktiviti perbankan yang tidak dibenarkan.

FvncBot bergantung pada perkhidmatan penyulitan apk0day oleh Golden Crypt untuk perlindungan. Apl berniat jahat yang dibentangkan kepada pengguna berfungsi hanya sebagai pemuat, menggunakan muatan terbenam.

Melangkau Sekatan Android Moden

Setelah dilancarkan, penitis cuba memujuk mangsa untuk memasang komponen yang kelihatan seperti komponen Google Play. Proses ini sebenarnya merupakan helah berasaskan sesi yang digunakan untuk memintas perlindungan kebolehaksesan pada peranti yang menjalankan Android 13 dan lebih baharu, teknik yang dilihat dalam kempen terbaharu yang lain.

Semasa operasi, perisian hasad menghantar data log ke pelayan yang dihoskan di naleymilva.it.com, membenarkan penyerang memantau aktiviti bot dalam masa nyata. Metadata yang dibenamkan oleh pengendali, seperti call_pl pengecam dan versi 1.0‑P, menunjuk ke Poland sebagai sasaran awal dan mencadangkan bahawa FvncBot masih dalam peringkat awal pembangunan.

Mewujudkan Kawalan Melalui Penyalahgunaan Kebolehcapaian

Selepas penggunaan, perisian hasad menggesa pengguna untuk memberikan kebenaran kebolehaksesan. Dengan keistimewaan tinggi yang dijamin, ia menghubungi pelayan luaran melalui HTTP untuk mendaftarkan peranti dan menggunakan Pemesejan Awan Firebase (FCM) untuk menerima arahan yang berterusan.

Keupayaan Teras

• Berikut adalah beberapa fungsi utama yang disokong:
• Mulakan atau tamatkan sesi WebSocket untuk kawalan jauh, mendayakan leret, ketik dan menatal.
• Majukan log kebolehcapaian, senarai aplikasi yang dipasang dan maklumat peranti kepada pengendali.

• Paparkan atau sembunyikan tindanan skrin penuh untuk kecurian data.

• Sampaikan tindanan berniat jahat yang direka untuk aplikasi perbankan tertentu.

• Sahkan status kebolehcapaian dan log ketukan kekunci.

• Dapatkan arahan yang belum selesai daripada pelayan arahan.

• Strim skrin peranti menggunakan MediaProjection API.

• Mengatasi Sekatan Tangkapan Skrin Dengan 'Mod Teks'

Satu ciri penting ialah 'mod teks' khusus yang membolehkan penyerang menganalisis kandungan skrin walaupun aplikasi menghalang tangkapan skrin melalui tetapan FLAG_SECURE. Ini membolehkan penyasaran yang tepat semasa transaksi penipuan.

Pengedaran Masih Tidak Jelas

Kaedah jangkitan semasa masih belum diketahui. Walau bagaimanapun, trojan perbankan Android kerap bergantung pada kempen pancingan data SMS dan gedung aplikasi tidak rasmi, menjadikan vektor tersebut berkemungkinan untuk keluarga ini juga.

Ancaman yang Semakin Meningkat Yang Mungkin Berkembang Melampaui Poland

Oleh kerana perkhidmatan kebolehcapaian Android memberikan pandangan mendalam tentang aktiviti pengguna dan keupayaan untuk memanipulasi kandungan pada skrin, ia kekal sebagai alat yang ampuh untuk penyerang. Walaupun sampel ini memberi tumpuan kepada pengguna yang berbahasa Poland, pengendalinya boleh bertukar ke wilayah baharu dengan mudah atau menyamar sebagai institusi lain.