มัลแวร์มือถือ FvncBot

นักวิเคราะห์ด้านความปลอดภัยได้ค้นพบมัลแวร์ Android สายพันธุ์ใหม่ที่ไม่เคยรู้จักมาก่อน ชื่อว่า FvncBot ซึ่งเป็นภัยคุกคามที่ถูกสร้างขึ้นใหม่ทั้งหมด แตกต่างจากโทรจันโจมตีธนาคารสมัยใหม่จำนวนมากที่ดึงความสามารถมาจากโค้ดที่รั่วไหล มัลแวร์ตระกูลนี้มีสถาปัตยกรรมและเทคนิคเฉพาะตัว

ปลอมตัวเป็นแอปธนาคารที่น่าเชื่อถือของโปแลนด์

FvncBot แพร่กระจายภายใต้หน้ากากของเครื่องมือรักษาความปลอดภัยที่ถูกต้องตามกฎหมายจาก mBank โดยมุ่งเป้าไปที่ผู้ใช้บริการธนาคารบนมือถือในโปแลนด์โดยตรง การเลือกใช้รูปแบบการปลอมแปลงนี้ ประกอบกับฟังก์ชันการทำงานที่ออกแบบมาเพื่อการฉ้อโกงทางการเงิน บ่งชี้อย่างชัดเจนว่าผู้ดำเนินการมุ่งเน้นไปที่การฉ้อโกงแบบเจาะจงเป้าหมายสูง

คุณสมบัติที่สร้างขึ้นเป็นพิเศษเพื่อป้องกันการฉ้อโกงทางการเงิน

มัลแวร์นี้มีฟังก์ชันการทำงานมากมายที่ออกแบบมาเพื่อดักจับข้อมูลสำคัญและควบคุมอุปกรณ์ที่ถูกโจมตีจากระยะไกล โดยการใช้ประโยชน์จากบริการการเข้าถึงของ Android มันจะเพิ่มฟังก์ชันบันทึกการกดแป้นพิมพ์ ดำเนินการโจมตีแบบ web-inject สตรีมเนื้อหาหน้าจอ และใช้ประโยชน์จากเทคโนโลยี Hidden Virtual Network Computing (HVNC) เพื่ออำนวยความสะดวกในการทำธุรกรรมทางการเงินที่ไม่ได้รับอนุญาต

FvncBot อาศัยบริการเข้ารหัส apk0day ของ Golden Crypt ในการป้องกัน แอปพลิเคชันที่เป็นอันตรายที่แสดงต่อผู้ใช้นั้นทำหน้าที่เป็นเพียงตัวโหลด โดยจะทำการติดตั้งเพย์โหลดที่ฝังอยู่ภายใน

การหลีกเลี่ยงข้อจำกัดของ Android รุ่นใหม่

เมื่อเริ่มทำงานแล้ว โปรแกรมจะพยายามชักจูงเหยื่อให้ติดตั้งสิ่งที่ดูเหมือนจะเป็นส่วนประกอบของ Google Play กระบวนการนี้แท้จริงแล้วเป็นกลอุบายที่ใช้เซสชันเพื่อหลีกเลี่ยงการป้องกันการเข้าถึงบนอุปกรณ์ที่ใช้ Android 13 ขึ้นไป ซึ่งเป็นเทคนิคที่พบในแคมเปญอื่นๆ ที่เกิดขึ้นเมื่อเร็วๆ นี้

ระหว่างการทำงาน มัลแวร์จะส่งข้อมูลบันทึกไปยังเซิร์ฟเวอร์ที่โฮสต์อยู่ที่ naleymilva.it.com ทำให้ผู้โจมตีสามารถตรวจสอบกิจกรรมของบอทได้แบบเรียลไทม์ ข้อมูลเมตาที่ฝังโดยผู้ดำเนินการ เช่น ตัวระบุ call_pl และเวอร์ชัน 1.0‑P ชี้ให้เห็นว่าประเทศโปแลนด์เป็นเป้าหมายเริ่มต้น และบ่งชี้ว่า FvncBot ยังอยู่ในช่วงเริ่มต้นของการพัฒนา

การสร้างการควบคุมผ่านการละเมิดการเข้าถึง

หลังจากติดตั้งแล้ว มัลแวร์จะแจ้งให้ผู้ใช้ให้สิทธิ์การเข้าถึง เมื่อได้รับสิทธิ์ระดับสูงแล้ว มัลแวร์จะติดต่อเซิร์ฟเวอร์ภายนอกผ่าน HTTP เพื่อลงทะเบียนอุปกรณ์ และใช้ Firebase Cloud Messaging (FCM) เพื่อรับคำสั่งอย่างต่อเนื่อง

ความสามารถหลัก

• ด้านล่างนี้คือฟังก์ชันหลักบางส่วนที่รองรับ:
• เริ่มต้นหรือยุติเซสชัน WebSocket สำหรับการควบคุมระยะไกล ซึ่งช่วยให้สามารถปัด แตะ และเลื่อนหน้าจอได้

คุณสมบัติที่โดดเด่นอย่างหนึ่งคือ 'โหมดข้อความ' พิเศษที่ช่วยให้ผู้โจมตีสามารถวิเคราะห์เนื้อหาบนหน้าจอได้ แม้ว่าแอปจะป้องกันการจับภาพหน้าจอผ่านการตั้งค่า FLAG_SECURE ก็ตาม ซึ่งทำให้สามารถกำหนดเป้าหมายได้อย่างแม่นยำยิ่งขึ้นในระหว่างการทำธุรกรรมฉ้อโกง

การกระจายตัวยังไม่ชัดเจน

วิธีการแพร่กระจายในปัจจุบันยังไม่เป็นที่ทราบแน่ชัด อย่างไรก็ตาม มัลแวร์โทรจันสำหรับแอปพลิเคชันธนาคารบน Android มักอาศัยการหลอกลวงผ่าน SMS และร้านค้าแอปพลิเคชันที่ไม่เป็นทางการ ทำให้ช่องทางเหล่านั้นเป็นช่องทางที่เป็นไปได้สำหรับมัลแวร์ตระกูลนี้เช่นกัน

ภัยคุกคามที่กำลังทวีความรุนแรงขึ้นและอาจขยายวงกว้างออกไปนอกประเทศโปแลนด์

เนื่องจากบริการการเข้าถึงของ Android ให้ข้อมูลเชิงลึกเกี่ยวกับกิจกรรมของผู้ใช้และความสามารถในการจัดการเนื้อหาบนหน้าจอ จึงยังคงเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้โจมตี แม้ว่าตัวอย่างนี้จะเน้นที่ผู้ใช้ที่พูดภาษาโปแลนด์ แต่ผู้ดำเนินการสามารถเปลี่ยนไปใช้ภูมิภาคใหม่หรือปลอมตัวเป็นสถาบันอื่นได้อย่างง่ายดาย