Mobilna zlonamerna programska oprema FvncBot

Varnostni analitiki so odkrili doslej neznan sev zlonamerne programske opreme za Android, imenovan FvncBot, ki je grožnja, zasnovana v celoti iz nič. Za razliko od mnogih sodobnih bančnih trojancev, ki svoje zmogljivosti črpajo iz razkritih kodnih baz, ta družina sledi svoji lastni arhitekturi in tehnikam.

Prikrita kot zaupanja vredna poljska bančna aplikacija

FvncBot se širi pod krinko legitimnega varnostnega orodja mBank in cilja neposredno na uporabnike mobilnega bančništva na Poljskem. Izbira preobleke, skupaj s funkcionalnostjo, prilagojeno finančnim manipulacijam, močno kaže na to, da so njegovi upravljavci osredotočeni na zelo ciljno usmerjene goljufive kampanje.

Funkcije po meri za finančne goljufije

Zlonamerna programska oprema vključuje obsežen nabor zmogljivosti, namenjenih zajemanju občutljivih informacij in oddaljenemu upravljanju ogroženih naprav. Z zlorabo storitev dostopnosti sistema Android dodaja beleženje tipk, izvaja napade s spletnim vbrizgavanjem, pretaka vsebino zaslona in izkorišča skrito računalništvo navideznega omrežja (HVNC) za omogočanje nepooblaščenih bančnih dejavnosti.

FvncBot se za zaščito zanaša na storitev šifriranja apk0day podjetja Golden Crypt. Zlonamerna aplikacija, ki je predstavljena uporabniku, deluje zgolj kot nalagalnik, ki namešča vgrajeni koristni tovor.

Obhod sodobnih omejitev Androida

Ko je program zagnan, poskuša prepričati žrtve, da namestijo nekaj, kar je videti kot komponenta Google Play. Ta postopek je pravzaprav trik, ki temelji na seji in se uporablja za obhod zaščit dostopnosti v napravah z operacijskim sistemom Android 13 in novejšimi različicami, kar je tehnika, ki smo jo videli v drugih nedavnih kampanjah.

Med delovanjem zlonamerna programska oprema pošilja dnevniške podatke na strežnik, ki gostuje na naslovu naleymilva.it.com, kar napadalcem omogoča spremljanje aktivnosti botov v realnem času. Metapodatki, ki jih vdelajo operaterji, kot sta identifikator call_pl in različica 1.0‑P, kažejo na Poljsko kot začetno tarčo in nakazujejo, da je FvncBot še vedno v zgodnji fazi razvoja.

Vzpostavljanje nadzora z zlorabo dostopnosti

Po namestitvi zlonamerna programska oprema pozove uporabnika, da odobri dovoljenja za dostop. Ko je zagotovljeno povišano dovoljenje, se prek HTTP poveže z zunanjim strežnikom, da registrira napravo, in uporablja Firebase Cloud Messaging (FCM) za prejemanje tekočih ukazov.

Ključne zmogljivosti

• Spodaj je nekaj glavnih podprtih funkcij:
• Zaženite ali prekinite seje WebSocket za oddaljeno upravljanje, kar omogoča potege, tape in drsenje.
• Posredujte dnevnike dostopnosti, sezname nameščenih aplikacij in podatke o napravi operaterjem.

• Prikažite ali skrijte celozaslonske prekrivne elemente za krajo podatkov.

• Zagotavljajte zlonamerne prekrivne sloje, izdelane za specifične bančne aplikacije.

• Preverite stanje dostopnosti in zabeležite pritiske tipk.

• Pridobi čakajoča navodila s strežnika ukazov.

• Pretočno predvajajte zaslon naprave z uporabo API-ja MediaProjection.

• Premagovanje omejitev posnetkov zaslona z »besedilnim načinom«.

Ena od pomembnih funkcij je specializiran »besedilni način«, ki napadalcem omogoča analizo vsebine zaslona, tudi če aplikacije preprečujejo posnetke zaslona z nastavitvijo FLAG_SECURE. To omogoča natančno ciljanje med goljufivimi transakcijami.

Distribucija še vedno ni jasna

Trenutna metoda okužbe ostaja neznana. Vendar pa se bančni trojanci za Android pogosto zanašajo na kampanje lažnega predstavljanja prek SMS-ov in neuradne trgovine z aplikacijami, zaradi česar so verjetni vektorji tudi za to družino.

Naraščajoča grožnja, ki se lahko razširi preko meja Poljske

Ker Androidova storitev za dostopnost omogoča poglobljen vpogled v uporabniško dejavnost in možnost manipulacije z vsebino na zaslonu, ostaja močno orodje za napadalce. Čeprav se ta vzorec osredotoča na poljsko govoreče uporabnike, bi se njeni upravljavci lahko zlahka preusmerili na nove regije ali se izdajali za druge institucije.