FvncBot मोबाइल मालवेयर
सुरक्षा विश्लेषकहरूले पहिले अज्ञात एन्ड्रोइड मालवेयर स्ट्रेन, FvncBot नामक पहिचान गरेका छन्, जुन पूर्ण रूपमा स्क्र्याचबाट बनाइएको खतरा हो। लीक भएका कोडबेसहरूबाट आफ्नो क्षमताहरू प्राप्त गर्ने धेरै आधुनिक बैंकिङ ट्रोजनहरू भन्दा फरक, यो परिवारले आफ्नै वास्तुकला र प्रविधिहरू पछ्याउँछ।
सामग्रीको तालिका
विश्वसनीय पोलिश बैंकिङ एपको भेषमा
FvncBot mBank बाट वैध सुरक्षा उपकरणको आवरणमा फैलिन्छ, जुन पोल्याण्डका मोबाइल बैंकिङ प्रयोगकर्ताहरूलाई लक्षित गर्दछ। वित्तीय हेरफेरको लागि अनुकूलित कार्यक्षमतासँग जोडिएको भेषको छनोटले यसका सञ्चालकहरू अत्यधिक लक्षित ठगी अभियानहरूमा केन्द्रित छन् भन्ने कुरालाई दृढतापूर्वक संकेत गर्दछ।
वित्तीय ठगीका लागि अनुकूलित सुविधाहरू
मालवेयरमा संवेदनशील जानकारी खिच्न र सम्झौता गरिएका उपकरणहरूलाई टाढाबाट नियन्त्रण गर्न डिजाइन गरिएको क्षमताहरूको विस्तृत सुइट समावेश छ। एन्ड्रोइडको पहुँच सेवाहरूको दुरुपयोग गरेर, यसले किलगिङ थप्छ, वेब-इन्जेक्ट आक्रमणहरू कार्यान्वयन गर्छ, स्क्रिन सामग्री स्ट्रिम गर्छ, र अनधिकृत बैंकिङ गतिविधिलाई सहज बनाउन लुकेको भर्चुअल नेटवर्क कम्प्युटिङ (HVNC) को लाभ उठाउँछ।
FvncBot सुरक्षाको लागि गोल्डेन क्रिप्टद्वारा प्रदान गरिएको apk0day क्रिप्टिङ सेवामा निर्भर गर्दछ। प्रयोगकर्तालाई प्रस्तुत गरिएको दुर्भावनापूर्ण एपले लोडरको रूपमा मात्र काम गर्छ, एम्बेडेड पेलोड तैनाथ गर्छ।
आधुनिक एन्ड्रोइड प्रतिबन्धहरूलाई बाइपास गर्दै
एक पटक सुरु भएपछि, ड्रपरले पीडितहरूलाई गुगल प्ले कम्पोनेन्ट जस्तो देखिने कुरा स्थापना गर्न मनाउने प्रयास गर्दछ। यो प्रक्रिया वास्तवमा एन्ड्रोइड १३ र पछि चल्ने उपकरणहरूमा पहुँच सुरक्षाहरू बाइपास गर्न प्रयोग गरिने सत्र-आधारित चाल हो, जुन अन्य हालसालैका अभियानहरूमा देखिएको प्रविधि हो।
सञ्चालनको क्रममा, मालवेयरले naleymilva.it.com मा होस्ट गरिएको सर्भरमा लग डेटा पठाउँछ, जसले आक्रमणकारीहरूलाई वास्तविक समयमा बोट गतिविधि निगरानी गर्न अनुमति दिन्छ। अपरेटरहरूद्वारा एम्बेड गरिएको मेटाडेटा, जस्तै पहिचानकर्ता call_pl र संस्करण १.०‑P, ले पोल्याण्डलाई प्रारम्भिक लक्ष्यको रूपमा औंल्याउँछ र सुझाव दिन्छ कि FvncBot अझै विकासको प्रारम्भिक चरणमा छ।
पहुँच दुरुपयोग मार्फत नियन्त्रण स्थापना गर्ने
तैनाती पछि, मालवेयरले प्रयोगकर्तालाई पहुँच अनुमतिहरू प्रदान गर्न प्रेरित गर्छ। उच्च विशेषाधिकारहरू सुरक्षित गरिएको हुनाले, यसले उपकरण दर्ता गर्न HTTP मार्फत बाह्य सर्भरलाई सम्पर्क गर्छ र निरन्तर आदेशहरू प्राप्त गर्न फायरबेस क्लाउड सन्देश (FCM) प्रयोग गर्छ।
मुख्य क्षमताहरू
- तल केही प्राथमिक समर्थित कार्यहरू छन्:
- स्वाइप, ट्याप र स्क्रोलिङ सक्षम पार्दै, रिमोट कन्ट्रोलको लागि WebSocket सत्रहरू सुरु वा समाप्त गर्नुहोस्।
एउटा उल्लेखनीय विशेषता भनेको विशेष 'टेक्स्ट मोड' हो जसले आक्रमणकारीहरूलाई FLAG_SECURE सेटिङ मार्फत स्क्रिनसटहरू रोक्दा पनि स्क्रिन सामग्री विश्लेषण गर्न अनुमति दिन्छ। यसले धोखाधडीपूर्ण लेनदेनको समयमा सटीक लक्ष्यीकरण सक्षम बनाउँछ।
वितरण अझै अस्पष्ट छ
हालको संक्रमण विधि अज्ञात छ। यद्यपि, एन्ड्रोइड बैंकिङ ट्रोजनहरू प्रायः एसएमएस फिसिङ अभियानहरू र अनौपचारिक एप स्टोरहरूमा भर पर्छन्, जसले गर्दा यो परिवारको लागि पनि सम्भावित भेक्टरहरू छन्।
पोल्याण्डभन्दा बाहिर फैलिन सक्ने बढ्दो खतरा
एन्ड्रोइडको पहुँच सेवाले प्रयोगकर्ता गतिविधि र अन-स्क्रिन सामग्री हेरफेर गर्ने क्षमतामा गहिरो अन्तर्दृष्टि प्रदान गर्ने भएकोले, यो आक्रमणकारीहरूको लागि एक शक्तिशाली उपकरण बनेको छ। यद्यपि यो नमूना पोलिश-भाषी प्रयोगकर्ताहरूमा केन्द्रित छ, यसको अपरेटरहरूले सजिलै नयाँ क्षेत्रहरूमा स्विच गर्न सक्छन् वा अन्य संस्थाहरूको प्रतिरूपण गर्न सक्छन्।
