Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware FvncBot mobiele malware

FvncBot mobiele malware

Tegen Mezo in Mobiele malware
Vertalen naar:

Beveiligingsanalisten hebben een voorheen onbekende Android-malwarevariant ontdekt, genaamd FvncBot. Deze dreiging is volledig vanaf nul ontwikkeld. In tegenstelling tot veel moderne banktrojans die hun functionaliteit ontlenen aan gelekte codebases, volgt deze variant een eigen architectuur en technieken.

Vermomd als een betrouwbare Poolse bankapp

FvncBot verspreidt zich onder het mom van een legitieme beveiligingstool van mBank en richt zich specifiek op gebruikers van mobiel bankieren in Polen. De gekozen vermomming, in combinatie met functionaliteit die is afgestemd op financiële manipulatie, wijst er sterk op dat de beheerders zich richten op zeer gerichte fraudecampagnes.

Op maat gemaakte functies voor financiële fraude

De malware bevat een uitgebreide reeks mogelijkheden die zijn ontworpen om gevoelige informatie te onderscheppen en op afstand de controle over gecompromitteerde apparaten over te nemen. Door misbruik te maken van de toegankelijkheidsdiensten van Android voegt de malware keylogging toe, voert webinject-aanvallen uit, streamt scherminhoud en maakt gebruik van verborgen virtuele netwerkcomputing (HVNC) om ongeautoriseerde bankactiviteiten mogelijk te maken.

FvncBot maakt voor bescherming gebruik van de apk0day-cryptieservice van Golden Crypt. De kwaadaardige app die aan de gebruiker wordt gepresenteerd, fungeert slechts als een loader die de ingebedde payload uitvoert.

Het omzeilen van moderne Android-beperkingen

Na de lancering probeert de dropper slachtoffers over te halen om een ogenschijnlijk Google Play-onderdeel te installeren. Dit proces is in werkelijkheid een sessiegebaseerde truc die wordt gebruikt om toegankelijkheidsbeveiligingen te omzeilen op apparaten met Android 13 en later, een techniek die ook in andere recente campagnes is waargenomen.

Tijdens de werking stuurt de malware loggegevens naar een server op naleymilva.it.com, waardoor aanvallers de botactiviteit in realtime kunnen volgen. Metadata die door de beheerders zijn ingevoegd, zoals de identificatiecode call_pl en de versie 1.0-P, wijzen naar Polen als het oorspronkelijke doelwit en suggereren dat FvncBot zich nog in een vroeg ontwikkelingsstadium bevindt.

Controle uitoefenen door misbruik van toegankelijkheid

Na de installatie vraagt de malware de gebruiker om toegangsrechten te verlenen. Zodra de verhoogde bevoegdheden zijn verkregen, maakt de malware via HTTP contact met een externe server om het apparaat te registreren en gebruikt Firebase Cloud Messaging (FCM) om doorlopende opdrachten te ontvangen.

Kerncompetenties

  • Hieronder staan enkele van de belangrijkste ondersteunde functies:
  • Start of beëindig WebSocket-sessies voor bediening op afstand, waardoor vegen, tikken en scrollen mogelijk worden.
  • Stuur toegankelijkheidslogboeken, lijsten met geïnstalleerde apps en apparaatinformatie door naar de beheerders.
  • Schermvullende overlays weergeven of verbergen om datadiefstal te voorkomen.
  • Lever kwaadaardige overlays aan die specifiek zijn ontworpen voor bankapplicaties.
  • Valideer de toegankelijkheidsstatus en registreer toetsaanslagen.
  • Haal de nog openstaande instructies op van de commandoserver.
  • Stream het scherm van het apparaat met behulp van de MediaProjection API.
  • De beperkingen van schermafbeeldingen omzeilen met de 'tekstmodus'.

Een opvallend kenmerk is een speciale 'tekstmodus' waarmee aanvallers de scherminhoud kunnen analyseren, zelfs wanneer apps screenshots blokkeren via de FLAG_SECURE-instelling. Dit maakt nauwkeurige targeting tijdens frauduleuze transacties mogelijk.

Verspreiding nog onduidelijk

De huidige infectiemethode is nog onbekend. Android-banktrojans maken echter vaak gebruik van sms-phishingcampagnes en onofficiële appwinkels, waardoor dit waarschijnlijk ook de verspreidingsroutes voor deze malwarefamilie zijn.

Een groeiende dreiging die zich mogelijk buiten Polen zal uitbreiden.

Omdat de toegankelijkheidsdienst van Android diepgaand inzicht biedt in gebruikersactiviteit en de mogelijkheid om de inhoud op het scherm te manipuleren, blijft het een krachtig instrument voor aanvallers. Hoewel dit voorbeeld zich richt op Poolssprekende gebruikers, zouden de beheerders gemakkelijk naar andere regio's kunnen overschakelen of zich kunnen voordoen als andere instellingen.

Trending

Meest bekeken

Bezig met laden...