FvncBot mobil skadlig kod
Säkerhetsanalytiker har identifierat en tidigare okänd Android-malware-stam, kallad FvncBot, ett hot som konstruerats helt från grunden. Till skillnad från många moderna banktrojaner som hämtar sina funktioner från läckta kodbaser, följer denna familj sin egen arkitektur och sina egna tekniker.
Innehållsförteckning
Förklädd till en betrodd polsk bankapp
FvncBot sprids under täckmantel av ett legitimt säkerhetsverktyg från mBank, och riktar sig direkt mot mobilbankanvändare i Polen. Valet av förklädnad, i kombination med funktionalitet skräddarsydd för finansiell manipulation, indikerar starkt att dess operatörer är fokuserade på mycket riktade bedrägerikampanjer.
Specialbyggda funktioner för ekonomiskt bedrägeri
Skadlig programvara inkluderar en omfattande uppsättning funktioner utformade för att samla in känslig information och fjärrstyra komprometterade enheter. Genom att missbruka Androids tillgänglighetstjänster lägger den till keylogging, kör web-inject-attacker, streamar skärminnehåll och utnyttjar dold virtuell nätverksberäkning (HVNC) för att underlätta obehörig bankaktivitet.
FvncBot förlitar sig på krypteringstjänsten apk0day från Golden Crypt för skydd. Den skadliga appen som presenteras för användaren fungerar endast som en laddare och distribuerar den inbäddade nyttolasten.
Kringgå moderna Android-begränsningar
När den väl har lanserats försöker droppern övertala offren att installera vad som verkar vara en Google Play-komponent. Denna process är i själva verket ett sessionsbaserat trick som används för att kringgå tillgänglighetsskydd på enheter som kör Android 13 och senare, en teknik som setts i andra kampanjer på senare tid.
Under drift skickar den skadliga programvaran loggdata till en server på naleymilva.it.com, vilket gör det möjligt för angripare att övervaka botaktivitet i realtid. Metadata som är inbäddade av operatörerna, såsom identifieraren call_pl och version 1.0‑P, pekar mot Polen som det initiala målet och antyder att FvncBot fortfarande befinner sig i ett tidigt utvecklingsstadium.
Att etablera kontroll genom tillgänglighetsmissbruk
Efter distributionen uppmanas användaren att bevilja åtkomstbehörigheter. Med förhöjda behörigheter säkrade kontaktar den en extern server via HTTP för att registrera enheten och använder Firebase Cloud Messaging (FCM) för att ta emot löpande kommandon.
Kärnfunktioner
- Nedan följer några av de primära funktioner som stöds:
- Initiera eller avsluta WebSocket-sessioner för fjärrstyrning, vilket möjliggör svepningar, tryckningar och skrollning.
- Vidarebefordra tillgänglighetsloggar, listor över installerade appar och enhetsinformation till operatörerna.
- Visa eller dölj helskärmsöverlagringar för datastöld.
- Leverera skadliga överlagringar utformade för specifika bankapplikationer.
- Validera tillgänglighetsstatus och logga tangenttryckningar.
- Hämta väntande instruktioner från kommandoservern.
- Streama enhetens skärm med hjälp av MediaProjection API.
- Övervinna begränsningar för skärmdumpar med "textläge".
En anmärkningsvärd funktion är ett specialiserat "textläge" som gör det möjligt för angripare att analysera skärminnehåll även när appar förhindrar skärmdumpar genom inställningen FLAG_SECURE. Detta möjliggör exakt målinriktning vid bedrägliga transaktioner.
Distributionen fortfarande oklar
Den nuvarande infektionsmetoden är fortfarande okänd. Android-banktrojaner förlitar sig dock ofta på SMS-nätfiskekampanjer och inofficiella appbutiker, vilket gör dem till sannolika vektorer för även denna familj.
Ett växande hot som kan expandera bortom Polen
Eftersom Androids tillgänglighetstjänst ger djupgående insikter i användaraktivitet och möjligheten att manipulera innehåll på skärmen, är den fortfarande ett kraftfullt verktyg för angripare. Även om detta exempel fokuserar på polsktalande användare, kan dess operatörer enkelt byta till nya regioner eller utge sig för att vara andra institutioner.
