FvncBot Мобильное вредоносное ПО
Аналитики в области безопасности выявили ранее неизвестный штамм вредоносного ПО для Android, получивший название FvncBot, представляющий собой угрозу, разработанную полностью с нуля. В отличие от многих современных банковских троянов, которые заимствуют свои возможности из утечек кода, это семейство использует собственную архитектуру и методы.
Оглавление
Замаскировано под надежное польское банковское приложение.
FvncBot распространяется под видом легитимного инструмента безопасности от mBank, нацеленного непосредственно на пользователей мобильного банкинга в Польше. Выбор маскировки в сочетании с функциональностью, предназначенной для финансовых манипуляций, убедительно свидетельствует о том, что его операторы сосредоточены на целенаправленных мошеннических кампаниях.
Специально разработанные функции для борьбы с финансовым мошенничеством
Вредоносная программа включает в себя обширный набор функций, предназначенных для сбора конфиденциальной информации и удаленного управления скомпрометированными устройствами. Используя службы специальных возможностей Android, она добавляет функцию перехвата нажатий клавиш, выполняет атаки с внедрением веб-кода, транслирует содержимое экрана и использует скрытые виртуальные сетевые вычисления (HVNC) для осуществления несанкционированных банковских операций.
FvncBot использует для защиты криптографический сервис apk0day от Golden Crypt. Вредоносное приложение, предоставляемое пользователю, функционирует лишь как загрузчик, развертывая встроенную полезную нагрузку.
Обход современных ограничений Android
После запуска вредоносная программа пытается убедить жертв установить компонент, который выглядит как Google Play. На самом деле это трюк, основанный на использовании сессий, позволяющий обойти защиту специальных возможностей на устройствах под управлением Android 13 и более поздних версий — метод, который использовался в других недавних кампаниях.
В процессе работы вредоносная программа отправляет данные журналов на сервер, размещенный по адресу naleymilva.it.com, что позволяет злоумышленникам отслеживать активность бота в режиме реального времени. Метаданные, внедренные операторами, такие как идентификатор call_pl и версия 1.0-P, указывают на Польшу как на первоначальную цель и предполагают, что FvncBot находится на ранней стадии разработки.
Установление контроля посредством злоупотребления доступностью
После развертывания вредоносная программа запрашивает у пользователя разрешение на доступ к специальным возможностям. Получив повышенные привилегии, она связывается с внешним сервером по протоколу HTTP для регистрации устройства и использует Firebase Cloud Messaging (FCM) для получения текущих команд.
Основные возможности
- Ниже перечислены некоторые из основных поддерживаемых функций:
- Инициирование или завершение сеансов WebSocket для удаленного управления, включая возможность проведения пальцем по экрану, касаний и прокрутки.
- Пересылайте операторам журналы доступности, списки установленных приложений и информацию об устройстве.
- Отображение или скрытие полноэкранных наложений для предотвращения кражи данных.
- Распространять вредоносные оверлеи, разработанные специально для банковских приложений.
- Проверяйте статус доступности и регистрируйте нажатия клавиш.
- Получите ожидающие инструкции с командного сервера.
- Транслируйте изображение с экрана устройства, используя API MediaProjection.
- Преодоление ограничений на создание скриншотов с помощью «Текстового режима».
Одной из примечательных особенностей является специализированный «текстовый режим», который позволяет злоумышленникам анализировать содержимое экрана, даже если приложения блокируют создание скриншотов с помощью параметра FLAG_SECURE. Это обеспечивает точное нацеливание во время мошеннических транзакций.
Распределение по-прежнему неясно.
Текущий метод заражения остается неизвестным. Однако банковские трояны для Android часто используют SMS-фишинговые кампании и неофициальные магазины приложений, что делает их вероятными векторами распространения и для этого семейства вредоносных программ.
Растущая угроза, которая может распространиться за пределы Польши.
Поскольку служба специальных возможностей Android предоставляет подробную информацию об активности пользователей и возможность манипулировать содержимым экрана, она остается мощным инструментом для злоумышленников. Хотя этот пример ориентирован на польскоязычных пользователей, его операторы могут легко переключиться на другие регионы или выдать себя за другие организации.
