Мобільне шкідливе програмне забезпечення FvncBot
Аналітики безпеки виявили раніше невідомий штам шкідливого програмного забезпечення для Android під назвою FvncBot, який є загрозою, розробленою повністю з нуля. На відміну від багатьох сучасних банківських троянів, які отримують свої можливості з витікаючих кодових баз, це сімейство має власну архітектуру та методи.
Зміст
Замаскований під надійний польський банківський додаток
FvncBot поширюється під виглядом легітимного інструменту безпеки від mBank, безпосередньо націлюючись на користувачів мобільного банкінгу в Польщі. Вибір маскування в поєднанні з функціональністю, розробленою для фінансових маніпуляцій, переконливо вказує на те, що його оператори зосереджені на цілеспрямованих шахрайських кампаніях.
Спеціально розроблені функції для боротьби з фінансовим шахрайством
Це шкідливе програмне забезпечення містить широкий набір можливостей, призначених для захоплення конфіденційної інформації та дистанційного керування скомпрометованими пристроями. Зловживаючи службами доступності Android, воно додає кейлогер, виконує атаки веб-ін'єкцій, потоково передає вміст екрана та використовує приховані віртуальні мережеві обчислення (HVNC) для полегшення несанкціонованої банківської діяльності.
FvncBot покладається на криптосервіс apk0day від Golden Crypt для захисту. Шкідливий додаток, що представляється користувачеві, функціонує лише як завантажувач, розгортаючи вбудоване корисне навантаження.
Обхід сучасних обмежень Android
Після запуску дроппер намагається переконати жертв встановити те, що виглядає як компонент Google Play. Цей процес насправді є сеансовим трюком, який використовується для обходу захисту доступності на пристроях під управлінням Android 13 і пізніших версій, техніка, що спостерігалася в інших нещодавніх кампаніях.
Під час роботи шкідливе програмне забезпечення надсилає дані журналу на сервер, розміщений за адресою naleymilva.it.com, що дозволяє зловмисникам відстежувати активність бота в режимі реального часу. Метадані, вбудовані операторами, такі як ідентифікатор call_pl та версія 1.0‑P, вказують на Польщу як на початкову ціль і свідчать про те, що FvncBot все ще перебуває на ранній стадії розробки.
Встановлення контролю через зловживання доступністю
Після розгортання шкідливе програмне забезпечення пропонує користувачеві надати дозволи на доступ. Забезпечивши підвищені привілеї, воно зв’язується із зовнішнім сервером через HTTP для реєстрації пристрою та використовує Firebase Cloud Messaging (FCM) для отримання поточних команд.
Основні можливості
- Нижче наведено деякі з основних підтримуваних функцій:
- Ініціювати або завершувати сеанси WebSocket для віддаленого керування, дозволяючи проведення пальцем, торкання та прокручування.
Однією з помітних функцій є спеціалізований «текстовий режим», який дозволяє зловмисникам аналізувати вміст екрана, навіть коли програми блокують знімки екрана за допомогою налаштування FLAG_SECURE. Це дозволяє точно атакувати під час шахрайських транзакцій.
Розподіл досі незрозумілий
Поточний метод зараження залишається невідомим. Однак банківські трояни Android часто покладаються на SMS-фішингові кампанії та неофіційні магазини додатків, що робить їх також ймовірними векторами поширення для цієї родини.
Зростаюча загроза, яка може поширитися за межі Польщі
Оскільки служба спеціальних можливостей Android надає глибоке розуміння активності користувачів та можливість маніпулювати вмістом на екрані, вона залишається потужним інструментом для зловмисників. Хоча цей зразок зосереджений на польськомовних користувачах, її оператори можуть легко перейти на нові регіони або видавати себе за інші установи.
