Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Malware para dispositivos móveis FvncBot

Malware para dispositivos móveis FvncBot

Por Mezo em Malware móvel
Traduzir Para:

Analistas de segurança identificaram uma variante de malware para Android até então desconhecida, chamada FvncBot, uma ameaça projetada inteiramente do zero. Ao contrário de muitos trojans bancários modernos que derivam suas funcionalidades de códigos-fonte vazados, essa família segue sua própria arquitetura e técnicas.

Disfarçado de aplicativo bancário polonês confiável

O FvncBot se espalha disfarçado de ferramenta de segurança legítima do mBank, visando diretamente usuários de mobile banking na Polônia. A escolha desse disfarce, aliada a funcionalidades voltadas para manipulação financeira, indica fortemente que seus operadores estão focados em campanhas de fraude altamente direcionadas.

Funcionalidades personalizadas para fraude financeira

O malware inclui um extenso conjunto de recursos projetados para capturar informações confidenciais e controlar remotamente dispositivos comprometidos. Ao abusar dos serviços de acessibilidade do Android, ele adiciona registro de teclas digitadas (keylogging), executa ataques de injeção de dados na web, transmite conteúdo da tela e utiliza computação de rede virtual oculta (HVNC) para facilitar atividades bancárias não autorizadas.

O FvncBot utiliza o serviço de criptografia apk0day da Golden Crypt para proteção. O aplicativo malicioso apresentado ao usuário funciona apenas como um carregador, implantando o payload embutido.

Contornando as restrições do Android moderno

Uma vez iniciado, o dropper tenta persuadir as vítimas a instalar o que aparenta ser um componente do Google Play. Esse processo é, na verdade, um truque baseado em sessão usado para burlar as proteções de acessibilidade em dispositivos com Android 13 ou posterior, uma técnica já vista em outras campanhas recentes.

Durante a operação, o malware envia dados de registro para um servidor hospedado em naleymilva.it.com, permitindo que os atacantes monitorem a atividade do bot em tempo real. Metadados incorporados pelos operadores, como o identificador call_pl e a versão 1.0-P, apontam para a Polônia como alvo inicial e sugerem que o FvncBot ainda está em um estágio inicial de desenvolvimento.

Estabelecendo controle por meio do abuso de acessibilidade

Após a instalação, o malware solicita ao usuário que conceda permissões de acesso. Com os privilégios elevados garantidos, ele contata um servidor externo via HTTP para registrar o dispositivo e utiliza o Firebase Cloud Messaging (FCM) para receber comandos contínuos.

Competências Essenciais

  • Abaixo estão algumas das principais funções suportadas:
  • Inicie ou encerre sessões WebSocket para controle remoto, permitindo gestos de deslizar, tocar e rolar a tela.
  • Encaminhe os registros de acessibilidade, a lista de aplicativos instalados e as informações do dispositivo para as operadoras.
  • Exibir ou ocultar sobreposições em tela cheia para proteção contra roubo de dados.
  • Distribuir sobreposições maliciosas criadas para aplicativos bancários específicos.
  • Validar o estado de acessibilidade e registar as teclas digitadas.
  • Recuperar instruções pendentes do servidor de comandos.
  • Transmita a tela do dispositivo usando a API MediaProjection.
  • Superando as restrições de captura de tela com o 'Modo Texto'.

Uma funcionalidade notável é um "modo texto" especializado que permite aos atacantes analisar o conteúdo da tela mesmo quando os aplicativos impedem a captura de tela por meio da configuração FLAG_SECURE. Isso possibilita uma segmentação precisa durante transações fraudulentas.

Distribuição ainda incerta

O método de infecção atual permanece desconhecido. No entanto, os trojans bancários para Android frequentemente dependem de campanhas de phishing por SMS e lojas de aplicativos não oficiais, tornando esses também vetores prováveis para essa família de vírus.

Uma ameaça crescente que pode se expandir para além da Polônia.

Como o serviço de acessibilidade do Android oferece informações detalhadas sobre a atividade do usuário e a capacidade de manipular o conteúdo na tela, ele continua sendo uma ferramenta poderosa para invasores. Embora este exemplo se concentre em usuários de língua polonesa, seus operadores poderiam facilmente mudar para novas regiões ou se passar por outras instituições.

Tendendo

Mais visto

Carregando...