Multi-License Discount Quote
Banta sa Database Mobile Malware FvncBot Mobile Malware

FvncBot Mobile Malware

Sa pamamagitan ng Mezo sa Mobile Malware
Isalin To:

Natukoy ng mga security analyst ang isang dating hindi kilalang uri ng malware sa Android, na pinangalanang FvncBot, na isang banta na ganap na ginawa mula sa simula. Hindi tulad ng maraming modernong banking trojan na kumukuha ng kanilang mga kakayahan mula sa mga leaked codebase, ang pamilyang ito ay sumusunod sa sarili nitong arkitektura at mga pamamaraan.

Nagbabalatkayo bilang isang Pinagkakatiwalaang Polish Banking App

Kumakalat ang FvncBot sa ilalim ng pagkukunwari ng isang lehitimong tool sa seguridad mula sa mBank, na direktang tumutuon sa mga gumagamit ng mobile banking sa Poland. Ang pagpili ng pagbabalatkayo, kasama ang functionality na iniayon para sa manipulasyon sa pananalapi, ay malinaw na nagpapahiwatig na ang mga operator nito ay nakatuon sa mga kampanya ng pandaraya na may mataas na target.

Mga Tampok na Pasadyang Ginawa para sa Pandaraya sa Pananalapi

Kasama sa malware ang malawak na hanay ng mga kakayahan na idinisenyo upang makuha ang sensitibong impormasyon at malayuang kontrolin ang mga nakompromisong device. Sa pamamagitan ng pag-abuso sa mga serbisyo ng accessibility ng Android, nagdaragdag ito ng keylogging, nagsasagawa ng mga web-inject attack, nag-i-stream ng nilalaman sa screen, at ginagamit ang hidden virtual network computing (HVNC) upang mapadali ang hindi awtorisadong aktibidad sa pagbabangko.

Umaasa ang FvncBot sa serbisyo ng apk0day crypting ng Golden Crypt para sa proteksyon. Ang malisyosong app na ipinapakita sa user ay gumagana lamang bilang isang loader, na nagde-deploy ng naka-embed na payload.

Paglampas sa mga Modernong Restriksyon sa Android

Kapag nailunsad na, susubukan ng dropper na hikayatin ang mga biktima na i-install ang tila isang Google Play component. Ang prosesong ito ay talagang isang session-based na trick na ginagamit upang malampasan ang mga proteksyon sa accessibility sa mga device na nagpapatakbo ng Android 13 at mas bago, isang pamamaraan na nakikita sa iba pang mga kamakailang kampanya.

Habang gumagana, ang malware ay nagpapadala ng log data sa isang server na naka-host sa naleymilva.it.com, na nagpapahintulot sa mga umaatake na subaybayan ang aktibidad ng bot nang real time. Ang metadata na naka-embed ng mga operator, tulad ng identifier na call_pl at ang bersyon 1.0‑P, ay tumutukoy sa Poland bilang ang unang target at nagmumungkahi na ang FvncBot ay nasa maagang yugto pa lamang ng pag-unlad.

Pagtatatag ng Kontrol sa Pamamagitan ng Pag-abuso sa Accessibility

Pagkatapos ng pag-deploy, hinihikayat ng malware ang user na magbigay ng mga pahintulot sa accessibility. Dahil may mga nakasegurong mataas na pribilehiyo, nakikipag-ugnayan ito sa isang external server sa pamamagitan ng HTTP upang irehistro ang device at ginagamit ang Firebase Cloud Messaging (FCM) upang makatanggap ng mga patuloy na command.

Mga Pangunahing Kakayahan

  • Nasa ibaba ang ilan sa mga pangunahing sinusuportahang function:
  • Simulan o wakasan ang mga sesyon ng WebSocket para sa remote control, na nagpapagana ng mga swipe, taps, at scrolling.
  • Ipasa ang mga log ng accessibility, mga listahan ng naka-install na app, at impormasyon ng device sa mga operator.
  • Ipakita o itago ang mga full-screen overlay para sa pagnanakaw ng data.
  • Maghatid ng mga malisyosong overlay na ginawa para sa mga partikular na aplikasyon sa pagbabangko.
  • Patunayan ang katayuan ng accessibility at i-log ang mga keystroke.
  • Kunin ang mga nakabinbing tagubilin mula sa command server.
  • I-stream ang screen ng device gamit ang MediaProjection API.
  • Pagtagumpayan ang mga Restriksyon sa Screenshot Gamit ang 'Text Mode.'

    • Isang kapansin-pansing tampok ay ang espesyal na 'text mode' na nagbibigay-daan sa mga umaatake na suriin ang nilalaman ng screen kahit na pinipigilan ng mga app ang mga screenshot sa pamamagitan ng setting na FLAG_SECURE. Nagbibigay-daan ito sa tumpak na pag-target sa panahon ng mga mapanlinlang na transaksyon.

    Hindi Pa Rin Malinaw ang Pamamahagi

    Ang kasalukuyang paraan ng pag-infect ay nananatiling hindi alam. Gayunpaman, ang mga Android banking trojan ay madalas na umaasa sa mga SMS phishing campaign at mga hindi opisyal na app store, kaya malamang na sila rin ang magiging sanhi ng ganitong uri ng impeksyon.

    Isang Lumalaking Banta na Maaaring Lumawak Lampas sa Poland

    Dahil ang serbisyo ng accessibility ng Android ay nagbibigay ng malalim na kaalaman sa aktibidad ng user at ang kakayahang manipulahin ang nilalaman sa screen, nananatili itong isang makapangyarihang kasangkapan para sa mga umaatake. Bagama't nakatuon ang halimbawang ito sa mga user na nagsasalita ng Polish, ang mga operator nito ay madaling makakalipat sa mga bagong rehiyon o makakapagpanggap bilang ibang institusyon.

    Trending

    Pinaka Nanood

    Naglo-load...