FvncBot ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਐਂਡਰਾਇਡ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਸਦਾ ਨਾਮ FvncBot ਹੈ, ਜੋ ਕਿ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸ਼ੁਰੂ ਤੋਂ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਇੱਕ ਖ਼ਤਰਾ ਹੈ। ਬਹੁਤ ਸਾਰੇ ਆਧੁਨਿਕ ਬੈਂਕਿੰਗ ਟ੍ਰੋਜਨਾਂ ਦੇ ਉਲਟ ਜੋ ਲੀਕ ਹੋਏ ਕੋਡਬੇਸਾਂ ਤੋਂ ਆਪਣੀਆਂ ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ, ਇਹ ਪਰਿਵਾਰ ਆਪਣੇ ਖੁਦ ਦੇ ਆਰਕੀਟੈਕਚਰ ਅਤੇ ਤਕਨੀਕਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ।

ਇੱਕ ਭਰੋਸੇਯੋਗ ਪੋਲਿਸ਼ ਬੈਂਕਿੰਗ ਐਪ ਦੇ ਭੇਸ ਵਿੱਚ

FvncBot mBank ਤੋਂ ਇੱਕ ਜਾਇਜ਼ ਸੁਰੱਖਿਆ ਟੂਲ ਦੇ ਰੂਪ ਵਿੱਚ ਫੈਲਦਾ ਹੈ, ਜਿਸਦਾ ਨਿਸ਼ਾਨਾ ਪੋਲੈਂਡ ਵਿੱਚ ਮੋਬਾਈਲ ਬੈਂਕਿੰਗ ਉਪਭੋਗਤਾਵਾਂ 'ਤੇ ਸਿੱਧਾ ਹੈ। ਭੇਸ ਦੀ ਚੋਣ, ਵਿੱਤੀ ਹੇਰਾਫੇਰੀ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਕਾਰਜਸ਼ੀਲਤਾ ਦੇ ਨਾਲ, ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਸਦੇ ਸੰਚਾਲਕ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾਬੱਧ ਧੋਖਾਧੜੀ ਮੁਹਿੰਮਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹਨ।

ਵਿੱਤੀ ਧੋਖਾਧੜੀ ਲਈ ਕਸਟਮ-ਬਿਲਟ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ

ਇਸ ਮਾਲਵੇਅਰ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਹਾਸਲ ਕਰਨ ਅਤੇ ਰਿਮੋਟਲੀ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਨੂੰ ਕੰਟਰੋਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਸਮਰੱਥਾਵਾਂ ਦਾ ਇੱਕ ਵਿਸ਼ਾਲ ਸੂਟ ਸ਼ਾਮਲ ਹੈ। ਐਂਡਰਾਇਡ ਦੀਆਂ ਪਹੁੰਚਯੋਗਤਾ ਸੇਵਾਵਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ, ਇਹ ਕੀਲੌਗਿੰਗ ਜੋੜਦਾ ਹੈ, ਵੈੱਬ-ਇੰਜੈਕਟ ਹਮਲੇ ਕਰਦਾ ਹੈ, ਸਕ੍ਰੀਨ ਸਮੱਗਰੀ ਨੂੰ ਸਟ੍ਰੀਮ ਕਰਦਾ ਹੈ, ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਬੈਂਕਿੰਗ ਗਤੀਵਿਧੀ ਦੀ ਸਹੂਲਤ ਲਈ ਲੁਕਵੇਂ ਵਰਚੁਅਲ ਨੈੱਟਵਰਕ ਕੰਪਿਊਟਿੰਗ (HVNC) ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ।

FvncBot ਸੁਰੱਖਿਆ ਲਈ ਗੋਲਡਨ ਕ੍ਰਿਪਟ ਦੁਆਰਾ apk0day ਕ੍ਰਿਪਟਿੰਗ ਸੇਵਾ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਉਪਭੋਗਤਾ ਨੂੰ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਖਤਰਨਾਕ ਐਪ ਸਿਰਫ਼ ਇੱਕ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਏਮਬੈਡਡ ਪੇਲੋਡ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ।

ਆਧੁਨਿਕ ਐਂਡਰਾਇਡ ਪਾਬੰਦੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ

ਇੱਕ ਵਾਰ ਲਾਂਚ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਡਰਾਪਰ ਪੀੜਤਾਂ ਨੂੰ ਗੂਗਲ ਪਲੇ ਕੰਪੋਨੈਂਟ ਵਾਂਗ ਇੰਸਟਾਲ ਕਰਨ ਲਈ ਮਨਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਇਹ ਪ੍ਰਕਿਰਿਆ ਅਸਲ ਵਿੱਚ ਇੱਕ ਸੈਸ਼ਨ-ਅਧਾਰਤ ਚਾਲ ਹੈ ਜੋ ਐਂਡਰਾਇਡ 13 ਅਤੇ ਬਾਅਦ ਵਾਲੇ ਵਰਜਨਾਂ 'ਤੇ ਚੱਲ ਰਹੇ ਡਿਵਾਈਸਾਂ 'ਤੇ ਪਹੁੰਚਯੋਗਤਾ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਹੈ, ਇੱਕ ਤਕਨੀਕ ਜੋ ਹੋਰ ਹਾਲੀਆ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਦੇਖੀ ਗਈ ਹੈ।

ਓਪਰੇਸ਼ਨ ਦੌਰਾਨ, ਮਾਲਵੇਅਰ naleymilva.it.com 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਸਰਵਰ ਨੂੰ ਲੌਗ ਡੇਟਾ ਭੇਜਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਬੋਟ ਗਤੀਵਿਧੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਸਕਦੇ ਹਨ। ਓਪਰੇਟਰਾਂ ਦੁਆਰਾ ਏਮਬੇਡ ਕੀਤਾ ਗਿਆ ਮੈਟਾਡੇਟਾ, ਜਿਵੇਂ ਕਿ ਪਛਾਣਕਰਤਾ call_pl ਅਤੇ ਸੰਸਕਰਣ 1.0‑P, ਪੋਲੈਂਡ ਨੂੰ ਸ਼ੁਰੂਆਤੀ ਨਿਸ਼ਾਨੇ ਵਜੋਂ ਦਰਸਾਉਂਦਾ ਹੈ ਅਤੇ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ FvncBot ਅਜੇ ਵੀ ਵਿਕਾਸ ਦੇ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ਵਿੱਚ ਹੈ।

ਪਹੁੰਚਯੋਗਤਾ ਦੀ ਦੁਰਵਰਤੋਂ ਰਾਹੀਂ ਨਿਯੰਤਰਣ ਸਥਾਪਤ ਕਰਨਾ

ਤੈਨਾਤੀ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਉਪਭੋਗਤਾ ਨੂੰ ਪਹੁੰਚਯੋਗਤਾ ਅਨੁਮਤੀਆਂ ਦੇਣ ਲਈ ਕਹਿੰਦਾ ਹੈ। ਉੱਚੇ ਅਧਿਕਾਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੇ ਨਾਲ, ਇਹ ਡਿਵਾਈਸ ਨੂੰ ਰਜਿਸਟਰ ਕਰਨ ਲਈ HTTP ਉੱਤੇ ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰਦਾ ਹੈ ਅਤੇ ਚੱਲ ਰਹੇ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਫਾਇਰਬੇਸ ਕਲਾਉਡ ਮੈਸੇਜਿੰਗ (FCM) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਮੁੱਖ ਸਮਰੱਥਾਵਾਂ

• ਹੇਠਾਂ ਕੁਝ ਮੁੱਖ ਸਮਰਥਿਤ ਫੰਕਸ਼ਨ ਹਨ:
• ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ ਵੈਬਸੌਕੇਟ ਸੈਸ਼ਨ ਸ਼ੁਰੂ ਕਰੋ ਜਾਂ ਸਮਾਪਤ ਕਰੋ, ਸਵਾਈਪ, ਟੈਪ ਅਤੇ ਸਕ੍ਰੌਲਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ।

ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ੇਸ਼ਤਾ ਇੱਕ ਵਿਸ਼ੇਸ਼ 'ਟੈਕਸਟ ਮੋਡ' ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਕ੍ਰੀਨ ਸਮੱਗਰੀ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਭਾਵੇਂ ਐਪਸ FLAG_SECURE ਸੈਟਿੰਗ ਰਾਹੀਂ ਸਕ੍ਰੀਨਸ਼ਾਟ ਨੂੰ ਰੋਕਦੇ ਹਨ। ਇਹ ਧੋਖਾਧੜੀ ਵਾਲੇ ਲੈਣ-ਦੇਣ ਦੌਰਾਨ ਸਟੀਕ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਵੰਡ ਅਜੇ ਵੀ ਅਸਪਸ਼ਟ ਹੈ

ਮੌਜੂਦਾ ਇਨਫੈਕਸ਼ਨ ਵਿਧੀ ਅਣਜਾਣ ਹੈ। ਹਾਲਾਂਕਿ, ਐਂਡਰਾਇਡ ਬੈਂਕਿੰਗ ਟ੍ਰੋਜਨ ਅਕਸਰ SMS ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਐਪ ਸਟੋਰਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਇਸ ਪਰਿਵਾਰ ਲਈ ਵੀ ਸੰਭਾਵਿਤ ਵੈਕਟਰ ਬਣਾਉਂਦੇ ਹਨ।

ਇੱਕ ਵਧਦਾ ਖ਼ਤਰਾ ਜੋ ਪੋਲੈਂਡ ਤੋਂ ਪਰੇ ਫੈਲ ਸਕਦਾ ਹੈ

ਕਿਉਂਕਿ ਐਂਡਰਾਇਡ ਦੀ ਪਹੁੰਚਯੋਗਤਾ ਸੇਵਾ ਉਪਭੋਗਤਾ ਗਤੀਵਿਧੀ ਅਤੇ ਸਕ੍ਰੀਨ 'ਤੇ ਸਮੱਗਰੀ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੀ ਯੋਗਤਾ ਵਿੱਚ ਡੂੰਘੀ ਸਮਝ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ, ਇਹ ਹਮਲਾਵਰਾਂ ਲਈ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸਾਧਨ ਬਣਿਆ ਹੋਇਆ ਹੈ। ਹਾਲਾਂਕਿ ਇਹ ਨਮੂਨਾ ਪੋਲਿਸ਼ ਬੋਲਣ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ, ਇਸਦੇ ਸੰਚਾਲਕ ਆਸਾਨੀ ਨਾਲ ਨਵੇਂ ਖੇਤਰਾਂ ਵਿੱਚ ਬਦਲ ਸਕਦੇ ਹਨ ਜਾਂ ਹੋਰ ਸੰਸਥਾਵਾਂ ਦੀ ਨਕਲ ਕਰ ਸਕਦੇ ਹਨ।