Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular FvncBot Mobile Malware

FvncBot Mobile Malware

Nga MezoMalware celular
Përkthe në:

Analistët e sigurisë kanë identifikuar një lloj malware për Android të panjohur më parë, të quajtur FvncBot, i cili është një kërcënim i projektuar tërësisht nga e para. Ndryshe nga shumë trojanë modernë bankarë që i nxjerrin aftësitë e tyre nga bazat e kodit të rrjedhura, kjo familje ndjek arkitekturën dhe teknikat e veta.

I maskuar si një aplikacion bankar polak i besueshëm

FvncBot përhapet nën maskën e një mjeti legjitim sigurie nga mBank, duke synuar drejtpërdrejt përdoruesit e bankave mobile në Poloni. Zgjedhja e maskimit, e shoqëruar me funksionalitetin e përshtatur për manipulim financiar, tregon fuqimisht se operatorët e tij janë të përqendruar në fushata mashtrimi me objektiva të lartë.

Karakteristika të Ndërtuara me Porositë për Mashtrim Financiar

Malware përfshin një gamë të gjerë aftësish të dizajnuara për të kapur informacione të ndjeshme dhe për të kontrolluar nga distanca pajisjet e kompromentuara. Duke abuzuar me shërbimet e aksesueshmërisë së Android, ai shton regjistrimin e tasteve, ekzekuton sulme me injeksion në internet, transmeton përmbajtje të ekranit dhe shfrytëzon informatikën e rrjetit virtual të fshehur (HVNC) për të lehtësuar aktivitetin bankar të paautorizuar.

FvncBot mbështetet në shërbimin e kriptimit apk0day nga Golden Crypt për mbrojtje. Aplikacioni keqdashës që i paraqitet përdoruesit funksionon thjesht si një ngarkues, duke vendosur ngarkesën e integruar.

Anashkalimi i kufizimeve moderne të Android-it

Pasi të lançohet, dropper përpiqet t'i bindë viktimat të instalojnë atë që duket të jetë një komponent i Google Play. Ky proces është në fakt një truk i bazuar në seanca që përdoret për të anashkaluar mbrojtjet e aksesueshmërisë në pajisjet që përdorin Android 13 dhe më vonë, një teknikë e parë në fushata të tjera të kohëve të fundit.

Gjatë funksionimit, malware dërgon të dhëna regjistri në një server të vendosur në naleymilva.it.com, duke u lejuar sulmuesve të monitorojnë aktivitetin e robotit në kohë reale. Meta të dhënat e ngulitura nga operatorët, siç është identifikuesi call_pl dhe versioni 1.0‑P, tregojnë Poloninë si objektivin fillestar dhe sugjerojnë që FvncBot është ende në një fazë të hershme të zhvillimit.

Vendosja e Kontrollit përmes Abuzimit të Aksesueshmërisë

Pas vendosjes, programi keqdashës i kërkon përdoruesit të japë leje aksesueshmërie. Me privilegje të larta të siguruara, ai kontakton një server të jashtëm përmes HTTP për të regjistruar pajisjen dhe përdor Firebase Cloud Messaging (FCM) për të marrë komanda të vazhdueshme.

Aftësitë kryesore

  • Më poshtë janë disa nga funksionet kryesore të mbështetura:
  • Nisni ose ndërprisni seancat e WebSocket për kontroll në distancë, duke aktivizuar rrëshqitjet, prekjet dhe lëvizjen me dorë.
  • Përcillni regjistrat e aksesueshmërisë, listat e aplikacioneve të instaluara dhe informacionin e pajisjes te operatorët.
  • Shfaq ose fshih mbivendosjet në ekran të plotë për vjedhjen e të dhënave.
  • Shpërndani mbivendosje dashakeqe të krijuara për aplikacione specifike bankare.
  • Validoni statusin e aksesueshmërisë dhe regjistroni shtypjet e tastierës.
  • Merrni udhëzimet në pritje nga serveri i komandave.
  • Transmetoni ekranin e pajisjes duke përdorur MediaProjection API.
  • Kapërcimi i kufizimeve të pamjes së ekranit me 'Modaliteti i tekstit'.

Një veçori e dukshme është një 'modalitet teksti' i specializuar që u lejon sulmuesve të analizojnë përmbajtjen e ekranit edhe kur aplikacionet parandalojnë pamjet e ekranit përmes cilësimit FLAG_SECURE. Kjo mundëson synim të saktë gjatë transaksioneve mashtruese.

Shpërndarja ende e paqartë

Metoda aktuale e infektimit mbetet e panjohur. Megjithatë, trojanët bankarë të Android shpesh mbështeten në fushatat e phishing-ut me SMS dhe dyqanet jozyrtare të aplikacioneve, duke i bërë ato edhe vektorë të mundshëm për këtë familje.

Një kërcënim në rritje që mund të zgjerohet përtej Polonisë

Meqenëse shërbimi i aksesueshmërisë së Android ofron një pasqyrë të thellë të aktivitetit të përdoruesit dhe aftësinë për të manipuluar përmbajtjen në ekran, ai mbetet një mjet i fuqishëm për sulmuesit. Edhe pse ky mostër përqendrohet te përdoruesit që flasin polonisht, operatorët e tij mund të kalojnë lehtësisht në rajone të reja ose të imitojnë institucione të tjera.

Në trend

Më e shikuara

Po ngarkohet...