FvncBot mobil skadelig programvare
Sikkerhetsanalytikere har identifisert en tidligere ukjent Android-malware-stamme, kalt FvncBot, som er en trussel som er utviklet helt fra bunnen av. I motsetning til mange moderne banktrojanere som henter funksjonene sine fra lekkede kodebaser, følger denne familien sin egen arkitektur og teknikker.
Innholdsfortegnelse
Forkledd som en pålitelig polsk bankapp
FvncBot sprer seg under dekke av et legitimt sikkerhetsverktøy fra mBank, og retter seg direkte mot mobilbankbrukere i Polen. Valget av forkledning, kombinert med funksjonalitet skreddersydd for økonomisk manipulasjon, indikerer sterkt at operatørene fokuserer på svært målrettede svindelkampanjer.
Tilpassede funksjoner for økonomisk svindel
Skadevaren inkluderer en omfattende pakke med funksjoner som er utformet for å fange opp sensitiv informasjon og fjernstyre kompromitterte enheter. Ved å misbruke Androids tilgjengelighetstjenester legger den til tastelogging, utfører web-injection-angrep, strømmer skjerminnhold og utnytter skjult virtuell nettverksdatabehandling (HVNC) for å legge til rette for uautorisert bankaktivitet.
FvncBot er avhengig av krypteringstjenesten apk0day fra Golden Crypt for beskyttelse. Den skadelige appen som presenteres for brukeren fungerer kun som en laster, og distribuerer den innebygde nyttelasten.
Omgå moderne Android-begrensninger
Når den er lansert, prøver dropperen å overtale ofrene til å installere det som ser ut til å være en Google Play-komponent. Denne prosessen er faktisk et øktbasert triks som brukes til å omgå tilgjengelighetsbeskyttelse på enheter som kjører Android 13 og nyere, en teknikk som er sett i andre nylige kampanjer.
Under drift sender skadevaren loggdata til en server som ligger på naleymilva.it.com, slik at angripere kan overvåke botaktivitet i sanntid. Metadata innebygd av operatørene, for eksempel identifikatoren call_pl og versjon 1.0‑P, peker mot Polen som det første målet og antyder at FvncBot fortsatt er i en tidlig utviklingsfase.
Etablering av kontroll gjennom misbruk av tilgjengelighet
Etter utrulling ber den skadelige programvaren brukeren om å gi tilgangstillatelser. Med forhøyede rettigheter sikret, kontakter den en ekstern server via HTTP for å registrere enheten og bruker Firebase Cloud Messaging (FCM) til å motta løpende kommandoer.
Kjernefunksjoner
- Nedenfor er noen av de primære støttede funksjonene:
- Start eller avslutt WebSocket-økter for fjernkontroll, slik at du kan sveipe, trykke og bla.
- Videresend tilgjengelighetslogger, lister over installerte apper og enhetsinformasjon til operatørene.
- Vis eller skjul fullskjermsoverlegg for datatyveri.
- Lever skadelige overlegg laget for spesifikke bankapplikasjoner.
- Valider tilgjengelighetsstatus og loggfør tastetrykk.
- Hent ventende instruksjoner fra kommandoserveren.
- Strøm enhetens skjerm ved hjelp av MediaProjection API.
- Overvinne skjermbildebegrensninger med «tekstmodus».
En bemerkelsesverdig funksjon er en spesialisert «tekstmodus» som lar angripere analysere skjerminnhold selv når apper forhindrer skjermbilder gjennom FLAG_SECURE-innstillingen. Dette muliggjør presis målretting under uredelige transaksjoner.
Distribusjon fortsatt uklar
Den nåværende infeksjonsmetoden er fortsatt ukjent. Android-banktrojanere er imidlertid ofte avhengige av SMS-phishing-kampanjer og uoffisielle appbutikker, noe som gjør disse sannsynlige vektorene for denne familien også.
En voksende trussel som kan spre seg utenfor Polen
Fordi Androids tilgjengelighetstjeneste gir dyp innsikt i brukeraktivitet og muligheten til å manipulere innhold på skjermen, er den fortsatt et kraftig verktøy for angripere. Selv om dette eksemplet fokuserer på polsktalende brukere, kan operatørene enkelt bytte til nye regioner eller utgi seg for å være andre institusjoner.
