FvncBot మొబైల్ మాల్వేర్

భద్రతా విశ్లేషకులు గతంలో తెలియని FvncBot అనే ఆండ్రాయిడ్ మాల్వేర్ జాతిని గుర్తించారు, ఇది పూర్తిగా మొదటి నుండి రూపొందించబడిన ముప్పు. లీక్ అయిన కోడ్‌బేస్‌ల నుండి తమ సామర్థ్యాలను పొందే అనేక ఆధునిక బ్యాంకింగ్ ట్రోజన్‌ల మాదిరిగా కాకుండా, ఈ కుటుంబం దాని స్వంత నిర్మాణం మరియు పద్ధతులను అనుసరిస్తుంది.

విశ్వసనీయ పోలిష్ బ్యాంకింగ్ యాప్‌గా మారువేషంలో ఉంది

FvncBot mBank నుండి చట్టబద్ధమైన భద్రతా సాధనం అనే ముసుగులో వ్యాపిస్తుంది, ఇది పోలాండ్‌లోని మొబైల్ బ్యాంకింగ్ వినియోగదారులను పూర్తిగా లక్ష్యంగా చేసుకుంటుంది. ఆర్థిక తారుమారు కోసం రూపొందించిన కార్యాచరణతో జతచేయబడిన మారువేష ఎంపిక, దాని ఆపరేటర్లు అత్యంత లక్ష్యంగా చేసుకున్న మోసపూరిత ప్రచారాలపై దృష్టి సారించారని బలంగా సూచిస్తుంది.

ఆర్థిక మోసానికి అనుకూల-నిర్మిత ఫీచర్‌లు

ఈ మాల్వేర్ సున్నితమైన సమాచారాన్ని సంగ్రహించడానికి మరియు రాజీపడిన పరికరాలను రిమోట్‌గా నియంత్రించడానికి రూపొందించబడిన విస్తృతమైన సామర్థ్యాల సూట్‌ను కలిగి ఉంటుంది. Android యొక్క యాక్సెసిబిలిటీ సేవలను దుర్వినియోగం చేయడం ద్వారా, ఇది కీలాగింగ్‌ను జోడిస్తుంది, వెబ్-ఇంజెక్ట్ దాడులను అమలు చేస్తుంది, స్క్రీన్ కంటెంట్‌ను స్ట్రీమ్ చేస్తుంది మరియు అనధికార బ్యాంకింగ్ కార్యకలాపాలను సులభతరం చేయడానికి దాచిన వర్చువల్ నెట్‌వర్క్ కంప్యూటింగ్ (HVNC)ను ప్రభావితం చేస్తుంది.

FvncBot రక్షణ కోసం గోల్డెన్ క్రిప్ట్ అందించే apk0day క్రిప్టింగ్ సేవపై ఆధారపడుతుంది. వినియోగదారుకు అందించబడిన హానికరమైన యాప్ కేవలం లోడర్‌గా పనిచేస్తుంది, ఎంబెడెడ్ పేలోడ్‌ను అమలు చేస్తుంది.

ఆధునిక Android పరిమితులను దాటవేయడం

ప్రారంభించిన తర్వాత, డ్రాపర్ బాధితులను Google Play కాంపోనెంట్‌గా కనిపించే దాన్ని ఇన్‌స్టాల్ చేయమని ఒప్పించడానికి ప్రయత్నిస్తుంది. ఈ ప్రక్రియ వాస్తవానికి Android 13 మరియు ఆ తర్వాత నడుస్తున్న పరికరాల్లో యాక్సెసిబిలిటీ రక్షణలను దాటవేయడానికి ఉపయోగించే సెషన్-ఆధారిత ట్రిక్, ఇది ఇతర ఇటీవలి ప్రచారాలలో కనిపించే టెక్నిక్.

ఆపరేషన్ సమయంలో, మాల్వేర్ లాగ్ డేటాను naleymilva.it.com లో హోస్ట్ చేయబడిన సర్వర్‌కు పంపుతుంది, దాడి చేసేవారు బాట్ కార్యాచరణను నిజ సమయంలో పర్యవేక్షించడానికి వీలు కల్పిస్తుంది. ఆపరేటర్లు పొందుపరిచిన మెటాడేటా, call_pl ఐడెంటిఫైయర్ మరియు వెర్షన్ 1.0‑P వంటివి, పోలాండ్‌ను ప్రారంభ లక్ష్యంగా సూచిస్తాయి మరియు FvncBot ఇంకా అభివృద్ధి ప్రారంభ దశలోనే ఉందని సూచిస్తుంది.

యాక్సెసిబిలిటీ దుర్వినియోగం ద్వారా నియంత్రణను ఏర్పాటు చేయడం

అమలు తర్వాత, మాల్వేర్ వినియోగదారుని యాక్సెసిబిలిటీ అనుమతులను మంజూరు చేయమని అడుగుతుంది. అధిక అధికారాలు సురక్షితంగా ఉండటంతో, పరికరాన్ని నమోదు చేయడానికి HTTP ద్వారా బాహ్య సర్వర్‌ను సంప్రదిస్తుంది మరియు కొనసాగుతున్న ఆదేశాలను స్వీకరించడానికి Firebase Cloud Messaging (FCM)ని ఉపయోగిస్తుంది.

ప్రధాన సామర్థ్యాలు

• ప్రాథమిక మద్దతు ఉన్న కొన్ని విధులు క్రింద ఉన్నాయి:
• రిమోట్ కంట్రోల్ కోసం వెబ్‌సాకెట్ సెషన్‌లను ప్రారంభించండి లేదా ముగించండి, స్వైప్‌లు, ట్యాప్‌లు మరియు స్క్రోలింగ్‌ను ప్రారంభించండి.

FLAG_SECURE సెట్టింగ్ ద్వారా యాప్‌లు స్క్రీన్‌షాట్‌లను నిరోధించినప్పుడు కూడా దాడి చేసేవారు స్క్రీన్ కంటెంట్‌ను విశ్లేషించడానికి అనుమతించే ప్రత్యేకమైన 'టెక్స్ట్ మోడ్' ఒక ముఖ్యమైన లక్షణం. ఇది మోసపూరిత లావాదేవీల సమయంలో ఖచ్చితమైన లక్ష్యాన్ని అనుమతిస్తుంది.

పంపిణీ ఇంకా అస్పష్టంగా ఉంది

ప్రస్తుత ఇన్ఫెక్షన్ పద్ధతి ఇంకా తెలియదు. అయితే, ఆండ్రాయిడ్ బ్యాంకింగ్ ట్రోజన్లు తరచుగా SMS ఫిషింగ్ ప్రచారాలు మరియు అనధికారిక యాప్ స్టోర్‌లపై ఆధారపడతాయి, ఈ కుటుంబానికి కూడా ఆ వెక్టర్‌లను వెక్టర్‌లుగా చేస్తాయి.

పోలాండ్ దాటి విస్తరించే ముప్పు

ఆండ్రాయిడ్ యాక్సెసిబిలిటీ సర్వీస్ వినియోగదారు కార్యాచరణ మరియు ఆన్-స్క్రీన్ కంటెంట్‌ను మార్చగల సామర్థ్యంపై లోతైన అంతర్దృష్టిని అందిస్తుంది కాబట్టి, ఇది దాడి చేసేవారికి శక్తివంతమైన సాధనంగా మిగిలిపోయింది. ఈ నమూనా పోలిష్ మాట్లాడే వినియోగదారులపై దృష్టి సారించినప్పటికీ, దాని ఆపరేటర్లు సులభంగా కొత్త ప్రాంతాలకు మారవచ్చు లేదా ఇతర సంస్థలను అనుకరించవచ్చు.