Mobilný malvér FvncBot
Bezpečnostní analytici identifikovali doteraz neznámy kmeň malvéru pre Android s názvom FvncBot, čo je hrozba vytvorená úplne od základu. Na rozdiel od mnohých moderných bankových trójskych koní, ktoré odvodzujú svoje schopnosti z uniknutých kódových báz, táto rodina má vlastnú architektúru a techniky.
Obsah
Vydáva sa za dôveryhodnú poľskú bankovú aplikáciu
FvncBot sa šíri pod rúškom legitímneho bezpečnostného nástroja od mBank a zameriava sa priamo na používateľov mobilného bankovníctva v Poľsku. Zvolená maska v spojení s funkciami prispôsobenými na finančné manipulácie silne naznačuje, že jeho prevádzkovatelia sa zameriavajú na cielené podvodné kampane.
Funkcie na mieru pre finančné podvody
Malvér obsahuje rozsiahlu sadu funkcií určených na zachytávanie citlivých informácií a diaľkové ovládanie napadnutých zariadení. Zneužívaním služieb prístupnosti systému Android pridáva keylogger, vykonáva útoky web-inject, streamuje obsah obrazovky a využíva skryté virtuálne sieťové výpočty (HVNC) na uľahčenie neoprávnených bankových aktivít.
FvncBot sa spolieha na ochranu pomocou šifrovacej služby apk0day od spoločnosti Golden Crypt. Škodlivá aplikácia, ktorá sa zobrazuje používateľovi, funguje iba ako zavádzací program, ktorý nasadzuje vložený dátový súbor.
Obchádzanie moderných obmedzení systému Android
Po spustení sa dropper pokúša presvedčiť obete, aby si nainštalovali niečo, čo vyzerá ako komponent služby Google Play. Tento proces je v skutočnosti trik založený na relácii, ktorý sa používa na obídenie ochrany prístupnosti na zariadeniach so systémom Android 13 a novším, čo je technika, ktorá sa používala aj v iných nedávnych kampaniach.
Počas prevádzky malvér odosiela údaje z protokolov na server hostovaný na adrese naleymilva.it.com, čo útočníkom umožňuje monitorovať aktivitu botov v reálnom čase. Metadáta vložené prevádzkovateľmi, ako napríklad identifikátor call_pl a verzia 1.0‑P, poukazujú na Poľsko ako na počiatočný cieľ a naznačujú, že FvncBot je stále v ranom štádiu vývoja.
Nadviazanie kontroly prostredníctvom zneužívania prístupnosti
Po nasadení malvér vyzve používateľa na udelenie oprávnení na prístup. Po zabezpečení zvýšených oprávnení kontaktuje externý server cez HTTP, aby zaregistroval zariadenie, a používa Firebase Cloud Messaging (FCM) na prijímanie priebežných príkazov.
Základné schopnosti
- Nižšie sú uvedené niektoré z hlavných podporovaných funkcií:
- Iniciovať alebo ukončiť relácie WebSocket pre diaľkové ovládanie, čo umožňuje potiahnutia, klepnutia a rolovanie.
- Preposielajte operátorom protokoly prístupnosti, zoznamy nainštalovaných aplikácií a informácie o zariadení.
- Zobraziť alebo skryť prekrytia na celú obrazovku pre prípad krádeže údajov.
- Poskytujte škodlivé prekrytia vytvorené pre špecifické bankové aplikácie.
- Overiť stav prístupnosti a zaznamenať stlačenia klávesov.
- Načítať čakajúce inštrukcie z príkazového servera.
- Streamujte obrazovku zariadenia pomocou rozhrania MediaProjection API.
- Prekonanie obmedzení snímok obrazovky pomocou „textového režimu“.
Jednou z pozoruhodných funkcií je špecializovaný „textový režim“, ktorý umožňuje útočníkom analyzovať obsah obrazovky, aj keď aplikácie bránia vytváraniu snímok obrazovky pomocou nastavenia FLAG_SECURE. To umožňuje presné zacielenie počas podvodných transakcií.
Distribúcia stále nejasná
Súčasná metóda infekcie zostáva neznáma. Bankové trójske kone pre Android sa však často spoliehajú na SMS phishingové kampane a neoficiálne obchody s aplikáciami, čo ich robí pravdepodobnými vektormi aj pre túto rodinu.
Rastúca hrozba, ktorá sa môže rozšíriť aj za hranice Poľska
Keďže služba prístupnosti systému Android poskytuje hlboký prehľad o aktivite používateľov a možnosť manipulovať s obsahom na obrazovke, zostáva pre útočníkov silným nástrojom. Hoci sa táto vzorka zameriava na poľsky hovoriacich používateľov, jej operátori by sa mohli ľahko presunúť do nových regiónov alebo sa vydávať za iné inštitúcie.
