Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Programe malware mobile FvncBot

Programe malware mobile FvncBot

Până în Mezo în Malware mobil
Tradu in:

Analiștii de securitate au identificat o tulpină de malware Android necunoscută anterior, numită FvncBot, care este o amenințare proiectată complet de la zero. Spre deosebire de mulți troieni bancari moderni care își derivă capacitățile din baze de cod scurse, această familie urmează propria arhitectură și tehnici.

Deghizată într-o aplicație bancară poloneză de încredere

FvncBot se răspândește sub masca unui instrument de securitate legitim de la mBank, vizând în mod direct utilizatorii de servicii bancare mobile din Polonia. Alegerea deghizării, împreună cu funcționalități adaptate pentru manipularea financiară, indică cu tărie faptul că operatorii săi se concentrează pe campanii de fraudă extrem de precise.

Funcții personalizate pentru frauda financiară

Malware-ul include o suită extinsă de capabilități concepute pentru a captura informații sensibile și a controla de la distanță dispozitivele compromise. Abuzând de serviciile de accesibilitate ale Android, adaugă keylogging, execută atacuri web-inject, transmite conținut de pe ecran și utilizează hidden virtual network computing (HVNC) pentru a facilita activități bancare neautorizate.

FvncBot se bazează pe serviciul de criptare apk0day de la Golden Crypt pentru protecție. Aplicația rău intenționată prezentată utilizatorului funcționează doar ca un încărcător, implementând sarcina utilă încorporată.

Ocolirea restricțiilor moderne Android

Odată lansat, dropper-ul încearcă să convingă victimele să instaleze ceea ce pare a fi o componentă Google Play. Acest proces este de fapt un truc bazat pe sesiune folosit pentru a ocoli protecțiile de accesibilitate pe dispozitivele care rulează Android 13 și versiuni ulterioare, o tehnică observată în alte campanii recente.

În timpul funcționării, malware-ul trimite date de jurnal către un server găzduit la adresa naleymilva.it.com, permițând atacatorilor să monitorizeze activitatea boților în timp real. Metadatele încorporate de operatori, cum ar fi identificatorul call_pl și versiunea 1.0‑P, indică Polonia ca țintă inițială și sugerează că FvncBot se află încă într-un stadiu incipient de dezvoltare.

Stabilirea controlului prin abuzul de accesibilitate

După implementare, malware-ul solicită utilizatorului să acorde permisiuni de accesibilitate. Cu privilegii sporite asigurate, acesta contactează un server extern prin HTTP pentru a înregistra dispozitivul și utilizează Firebase Cloud Messaging (FCM) pentru a primi comenzi continue.

Capacități de bază

  • Mai jos sunt câteva dintre principalele funcții suportate:
  • Inițiază sau încheie sesiuni WebSocket pentru control de la distanță, permițând glisări, atingeri și derulare.
  • Transmiteți operatorilor jurnalele de accesibilitate, listele de aplicații instalate și informațiile despre dispozitiv.
  • Afișați sau ascundeți suprapunerile pe tot ecranul pentru furtul de date.
  • Livrați suprapuneri rău intenționate create pentru aplicații bancare specifice.
  • Validați starea de accesibilitate și înregistrați apăsările de taste.
  • Preia instrucțiunile în așteptare de la serverul de comenzi.
  • Transmiteți în flux ecranul dispozitivului folosind API-ul MediaProjection.
  • Depășirea restricțiilor privind capturile de ecran cu „Modul text”.

O caracteristică notabilă este un „mod text” specializat care permite atacatorilor să analizeze conținutul ecranului chiar și atunci când aplicațiile împiedică capturile de ecran prin setarea FLAG_SECURE. Acest lucru permite o direcționare precisă în timpul tranzacțiilor frauduloase.

Distribuția încă neclară

Metoda actuală de infectare rămâne necunoscută. Cu toate acestea, troienii bancari Android se bazează frecvent pe campanii de phishing prin SMS și magazine de aplicații neoficiale, ceea ce face ca aceștia să fie vectori probabili și pentru această familie.

O amenințare tot mai mare care s-ar putea extinde dincolo de Polonia

Deoarece serviciul de accesibilitate al Android oferă informații detaliate despre activitatea utilizatorilor și capacitatea de a manipula conținutul de pe ecran, acesta rămâne un instrument puternic pentru atacatori. Deși acest exemplu se concentrează pe utilizatorii vorbitori de limbă poloneză, operatorii săi ar putea trece cu ușurință la noi regiuni sau ar putea să se dea drept alte instituții.

Trending

Cele mai văzute

Se încarcă...