FvncBot мобилни злонамерни софтвер

Безбедносни аналитичари су идентификовали раније непознату врсту злонамерног софтвера за Андроид, назван FvncBot, што је претња направљена у потпуности од нуле. За разлику од многих модерних банкарских тројанаца који своје могућности црпе из процурелих кодних база, ова породица прати сопствену архитектуру и технике.

Прерушена у поуздану пољску банкарску апликацију

FvncBot се шири под маском легитимног безбедносног алата од mBank-а, циљајући директно на кориснике мобилног банкарства у Пољској. Избор маске, упарен са функционалношћу прилагођеном финансијским манипулацијама, снажно указује на то да су његови оператери фокусирани на високо циљане кампање преваре.

Прилагођене функције за финансијске преваре

Злонамерни софтвер укључује опсежан скуп могућности дизајнираних за хватање осетљивих информација и даљинско управљање угроженим уређајима. Злоупотребом Андроидових услуга приступачности, додаје бележење откуцаја миша, извршава веб-убризгавање напада, стримује садржај екрана и користи скривено виртуелно мрежно рачунарство (HVNC) како би олакшао неовлашћене банкарске активности.

FvncBot се ослања на услугу криптовања apk0day компаније Golden Crypt ради заштите. Злонамерна апликација која се представља кориснику функционише само као програм за учитавање, распоређујући уграђени корисни терет.

Заобилажење модерних Андроид ограничења

Једном покренут, дропер покушава да убеди жртве да инсталирају оно што изгледа као компонента Google Play-а. Овај процес је заправо трик заснован на сесији који се користи за заобилажење заштите приступачности на уређајима који користе Android 13 и новије верзије, техника виђена у другим скорашњим кампањама.

Током рада, злонамерни софтвер шаље податке дневника на сервер који се налази на адреси naleymilva.it.com, омогућавајући нападачима да прате активност бота у реалном времену. Метаподаци које су уградили оператери, као што су идентификатор call_pl и верзија 1.0‑P, указују на Пољску као почетну мету и сугеришу да је FvncBot још увек у раној фази развоја.

Успостављање контроле злоупотребом приступачности

Након постављања, злонамерни софтвер тражи од корисника да одобри дозволе за приступ. Са обезбеђеним повећаним привилегијама, он контактира екстерни сервер преко HTTP-а да би регистровао уређај и користи Firebase Cloud Messaging (FCM) за примање текућих команди.

Основне могућности

• Испод су неке од главних подржаних функција:
• Покрените или прекините WebSocket сесије за даљинско управљање, омогућавајући превлачење, додиривање и скроловање.
• Прослеђујте евиденције приступачности, листе инсталираних апликација и информације о уређају оператерима.

• Прикажите или сакријте преклапајуће елементе преко целог екрана ради крађе података.

• Испоручујте злонамерне прекриваче креиране за одређене банкарске апликације.

• Проверите статус приступачности и евидентирајте притиске тастера.

• Преузмите чекајућа упутства са командног сервера.

• Стримујте екран уређаја помоћу MediaProjection API-ја.

• Превазилажење ограничења снимака екрана помоћу „текстуалног режима“.

Једна значајна карактеристика је специјализовани „текстуални режим“ који омогућава нападачима да анализирају садржај екрана чак и када апликације спречавају снимке екрана путем подешавања FLAG_SECURE. Ово омогућава прецизно циљање током преварних трансакција.

Дистрибуција још увек није јасна

Тренутни метод инфекције остаје непознат. Међутим, тројанци за банкарство за Андроид често се ослањају на СМС фишинг кампање и незваничне продавнице апликација, што их чини вероватним векторима и за ову породицу.

Растућа претња која би се могла проширити и ван Пољске

Пошто Андроидова услуга приступачности пружа дубок увид у активности корисника и могућност манипулације садржајем на екрану, она остаје моћно оруђе за нападаче. Иако се овај пример фокусира на кориснике који говоре пољски, њени оператери би лако могли да пређу на нове регионе или да се представљају као друге институције.