FvncBot Mobil Kötü Amaçlı Yazılım
Güvenlik analistleri, tamamen sıfırdan tasarlanmış, daha önce bilinmeyen bir Android kötü amaçlı yazılım türü olan FvncBot'u tespit etti. Sızdırılmış kod tabanlarından yeteneklerini alan birçok modern bankacılık truva atının aksine, bu aile kendi mimarisine ve tekniklerine sahiptir.
İçindekiler
Güvenilir bir Polonya bankacılık uygulaması gibi gizlenmiş
FvncBot, mBank'ın meşru bir güvenlik aracı kılığında yayılıyor ve doğrudan Polonya'daki mobil bankacılık kullanıcılarını hedef alıyor. Bu kılık değiştirme seçimi ve finansal manipülasyona yönelik işlevsellik, operatörlerinin son derece hedefli dolandırıcılık kampanyalarına odaklandığını açıkça gösteriyor.
Finansal Dolandırıcılık İçin Özel Olarak Tasarlanmış Özellikler
Bu kötü amaçlı yazılım, hassas bilgileri ele geçirmek ve ele geçirilen cihazları uzaktan kontrol etmek için tasarlanmış kapsamlı bir dizi özellik içeriyor. Android'in erişilebilirlik hizmetlerini kötüye kullanarak, tuş kaydedici özelliği ekliyor, web enjeksiyon saldırıları gerçekleştiriyor, ekran içeriğini yayınlıyor ve yetkisiz bankacılık faaliyetlerini kolaylaştırmak için gizli sanal ağ hesaplama (HVNC) teknolojisinden yararlanıyor.
FvncBot, korunma için Golden Crypt'in apk0day şifreleme hizmetine güveniyor. Kullanıcıya sunulan kötü amaçlı uygulama yalnızca bir yükleyici görevi görerek gömülü zararlı yazılımı dağıtıyor.
Modern Android Kısıtlamalarını Aşmak
Başlatıldıktan sonra, zararlı yazılım kurbanları Google Play bileşeni gibi görünen bir şeyi yüklemeye ikna etmeye çalışır. Bu işlem aslında, Android 13 ve üzeri sürümlerde çalışan cihazlardaki erişilebilirlik korumalarını atlatmak için kullanılan oturum tabanlı bir hiledir ve diğer son kampanyalarda da görülen bir tekniktir.
Çalışma sırasında, kötü amaçlı yazılım günlük verilerini naleymilva.it.com adresinde barındırılan bir sunucuya göndererek saldırganların bot etkinliğini gerçek zamanlı olarak izlemesine olanak tanır. Operatörler tarafından yerleştirilen meta veriler, örneğin call_pl tanımlayıcısı ve 1.0-P sürümü, Polonya'yı ilk hedef olarak işaret etmekte ve FvncBot'un hala geliştirmenin erken bir aşamasında olduğunu düşündürmektedir.
Erişilebilirlik İstismarı Yoluyla Kontrol Kurma
Yazılım yüklendikten sonra, kullanıcıdan erişim izinleri vermesini ister. Yüksek ayrıcalıklar elde edildikten sonra, cihazı kaydetmek için HTTP üzerinden harici bir sunucuyla iletişim kurar ve devam eden komutları almak için Firebase Cloud Messaging (FCM) kullanır.
Temel Yetenekler
- Aşağıda desteklenen başlıca işlevlerden bazıları yer almaktadır:
- Uzaktan kumanda için WebSocket oturumlarını başlatın veya sonlandırın; kaydırma, dokunma ve gezinme hareketlerini etkinleştirin.
- Erişilebilirlik kayıtlarını, yüklü uygulama listelerini ve cihaz bilgilerini operatörlere iletin.
- Veri hırsızlığını önlemek için tam ekran yer paylaşımlarını gösterin veya gizleyin.
- Belirli bankacılık uygulamaları için tasarlanmış kötü amaçlı yazılımları dağıtın.
- Erişilebilirlik durumunu doğrulayın ve tuş vuruşlarını kaydedin.
- Komut sunucusundan bekleyen talimatları alın.
- Cihazın ekran görüntüsünü MediaProjection API'sini kullanarak yayınlayın.
- 'Metin Modu' ile Ekran Görüntüsü Kısıtlamalarının Üstesinden Gelme.
Öne çıkan özelliklerden biri, uygulamaların FLAG_SECURE ayarı aracılığıyla ekran görüntüsü almayı engellediği durumlarda bile saldırganların ekran içeriğini analiz etmesine olanak tanıyan özel bir 'metin modu'dur. Bu, sahtekarlık işlemlerinde hassas hedeflemeyi mümkün kılar.
Dağıtım Henüz Belirsiz
Mevcut bulaşma yöntemi bilinmiyor. Bununla birlikte, Android bankacılık truva atları sıklıkla SMS kimlik avı kampanyalarına ve resmi olmayan uygulama mağazalarına başvurmaktadır; bu da bu tür saldırılar için de muhtemel bulaşma yolları oldukları anlamına gelir.
Polonya’nın Ötesine Yayılabilecek Büyüyen Bir Tehdit
Android'in erişilebilirlik hizmeti, kullanıcı etkinliğine dair derinlemesine bilgi sağladığı ve ekrandaki içeriği manipüle etme olanağı sunduğu için saldırganlar için güçlü bir araç olmaya devam etmektedir. Bu örnek Lehçe konuşan kullanıcılara odaklanmış olsa da, operatörler kolayca yeni bölgelere geçebilir veya diğer kurumları taklit edebilirler.
