FvncBot Mobile Malware
Analitycy bezpieczeństwa zidentyfikowali nieznany wcześniej szczep złośliwego oprogramowania dla systemu Android o nazwie FvncBot, który jest zagrożeniem stworzonym całkowicie od podstaw. W przeciwieństwie do wielu współczesnych trojanów bankowych, które czerpią swoje możliwości z wyciekłych baz kodu, ta rodzina stosuje własną architekturę i techniki.
Spis treści
Podszywająca się pod zaufaną polską aplikację bankową
FvncBot rozprzestrzenia się pod przykrywką legalnego narzędzia bezpieczeństwa mBanku, celując bezpośrednio w użytkowników bankowości mobilnej w Polsce. Wybór kamuflażu, w połączeniu z funkcjonalnością dostosowaną do manipulacji finansowych, wyraźnie wskazuje na to, że operatorzy FvncBota koncentrują się na wysoce ukierunkowanych kampaniach oszustw.
Funkcje dostosowane do wykrywania oszustw finansowych
Szkodliwe oprogramowanie obejmuje rozbudowany zestaw funkcji zaprojektowanych do przechwytywania poufnych informacji i zdalnego sterowania zainfekowanymi urządzeniami. Wykorzystując usługi ułatwień dostępu Androida, dodaje keyloggera, wykonuje ataki web-inject, przesyła strumieniowo zawartość ekranu i wykorzystuje ukryte przetwarzanie wirtualnej sieci (HVNC) do ułatwiania nieautoryzowanej działalności bankowej.
FvncBot wykorzystuje do ochrony usługę szyfrowania apk0day firmy Golden Crypt. Złośliwa aplikacja prezentowana użytkownikowi działa jedynie jako moduł ładujący, wdrażając osadzony ładunek.
Omijanie ograniczeń nowoczesnego Androida
Po uruchomieniu dropper próbuje nakłonić ofiary do zainstalowania czegoś, co wygląda na komponent Google Play. W rzeczywistości proces ten jest sztuczką opartą na sesji, służącą do omijania zabezpieczeń ułatwień dostępu na urządzeniach z systemem Android 13 i nowszym, techniką obserwowaną w innych niedawnych kampaniach.
Podczas działania złośliwe oprogramowanie wysyła dane z dziennika na serwer hostowany pod adresem naleymilva.it.com, umożliwiając atakującym monitorowanie aktywności bota w czasie rzeczywistym. Metadane osadzone przez operatorów, takie jak identyfikator call_pl i wersja 1.0‑P, wskazują na Polskę jako pierwotny cel i sugerują, że FvncBot jest wciąż na wczesnym etapie rozwoju.
Ustanawianie kontroli poprzez nadużywanie dostępności
Po wdrożeniu złośliwe oprogramowanie prosi użytkownika o udzielenie uprawnień dostępu. Po zabezpieczeniu podwyższonych uprawnień, łączy się z zewnętrznym serwerem przez HTTP w celu zarejestrowania urządzenia i korzysta z usługi Firebase Cloud Messaging (FCM) do odbierania bieżących poleceń.
Podstawowe możliwości
- Poniżej przedstawiono niektóre podstawowe obsługiwane funkcje:
- Inicjuj lub kończ sesje WebSocket w celu zdalnego sterowania, umożliwiając przesuwanie, stukanie i przewijanie.
Jedną z godnych uwagi funkcji jest specjalistyczny „tryb tekstowy”, który pozwala atakującym analizować zawartość ekranu, nawet gdy aplikacje blokują zrzuty ekranu za pomocą ustawienia FLAG_SECURE. Umożliwia to precyzyjne namierzanie podczas oszukańczych transakcji.
Dystrybucja nadal niejasna
Obecna metoda infekcji pozostaje nieznana. Jednak trojany bankowe na Androida często wykorzystują kampanie phishingowe SMS i nieoficjalne sklepy z aplikacjami, co czyni je prawdopodobnymi wektorami ataku również dla tej rodziny.
Rosnące zagrożenie, które może rozprzestrzenić się poza Polskę
Ponieważ usługa ułatwień dostępu Androida zapewnia dogłębny wgląd w aktywność użytkowników i umożliwia manipulowanie treściami wyświetlanymi na ekranie, pozostaje ona potężnym narzędziem dla atakujących. Chociaż ta próbka koncentruje się na użytkownikach mówiących po polsku, jej operatorzy mogliby łatwo przełączyć się na inne regiony lub podszywać się pod inne instytucje.
