Phần mềm độc hại FvncBot dành cho thiết bị di động

Các nhà phân tích an ninh đã xác định một biến thể phần mềm độc hại Android chưa từng được biết đến trước đây, có tên là FvncBot, một mối đe dọa được thiết kế hoàn toàn từ đầu. Không giống như nhiều phần mềm độc hại ngân hàng hiện đại lấy khả năng từ các mã nguồn bị rò rỉ, dòng phần mềm này tuân theo kiến trúc và kỹ thuật riêng của nó.

Được ngụy trang dưới dạng một ứng dụng ngân hàng đáng tin cậy của Ba Lan.

FvncBot lan truyền dưới vỏ bọc một công cụ bảo mật hợp pháp từ mBank, nhắm thẳng vào người dùng ngân hàng di động tại Ba Lan. Việc lựa chọn vỏ bọc này, kết hợp với chức năng được thiết kế riêng cho việc thao túng tài chính, cho thấy rõ ràng rằng những kẻ điều hành nó đang tập trung vào các chiến dịch lừa đảo có mục tiêu cao.

Các tính năng được xây dựng riêng để chống gian lận tài chính

Phần mềm độc hại này bao gồm một bộ chức năng mở rộng được thiết kế để thu thập thông tin nhạy cảm và điều khiển từ xa các thiết bị bị xâm nhập. Bằng cách lợi dụng các dịch vụ hỗ trợ tiếp cận của Android, nó thêm chức năng ghi lại thao tác bàn phím, thực hiện các cuộc tấn công chèn mã độc vào web, truyền phát nội dung màn hình và tận dụng điện toán mạng ảo ẩn (HVNC) để tạo điều kiện cho các hoạt động ngân hàng trái phép.

FvncBot dựa vào dịch vụ mã hóa apk0day của Golden Crypt để bảo vệ. Ứng dụng độc hại được hiển thị cho người dùng chỉ hoạt động như một trình tải, triển khai phần mềm độc hại được nhúng bên trong.

Vượt qua các hạn chế của Android hiện đại

Sau khi được khởi chạy, phần mềm độc hại cố gắng thuyết phục nạn nhân cài đặt một ứng dụng trông giống như thành phần của Google Play. Quá trình này thực chất là một thủ đoạn dựa trên phiên đăng nhập được sử dụng để vượt qua các biện pháp bảo vệ trợ năng trên các thiết bị chạy Android 13 trở lên, một kỹ thuật đã được thấy trong các chiến dịch gần đây khác.

Trong quá trình hoạt động, phần mềm độc hại gửi dữ liệu nhật ký đến máy chủ được lưu trữ tại naleymilva.it.com, cho phép kẻ tấn công theo dõi hoạt động của bot trong thời gian thực. Siêu dữ liệu được nhúng bởi những kẻ điều hành, chẳng hạn như mã định danh call_pl và phiên bản 1.0-P, cho thấy Ba Lan là mục tiêu ban đầu và gợi ý rằng FvncBot vẫn đang trong giai đoạn phát triển ban đầu.

Thiết lập quyền kiểm soát thông qua việc lạm dụng khả năng truy cập

Sau khi triển khai, phần mềm độc hại sẽ yêu cầu người dùng cấp quyền truy cập. Sau khi có được quyền quản trị, nó sẽ liên hệ với máy chủ bên ngoài qua giao thức HTTP để đăng ký thiết bị và sử dụng Firebase Cloud Messaging (FCM) để nhận các lệnh liên tục.

Năng lực cốt lõi

• Dưới đây là một số chức năng chính được hỗ trợ:
• Khởi tạo hoặc chấm dứt các phiên WebSocket để điều khiển từ xa, cho phép vuốt, chạm và cuộn.
• Chuyển tiếp nhật ký truy cập, danh sách ứng dụng đã cài đặt và thông tin thiết bị cho nhà mạng.

• Hiển thị hoặc ẩn các lớp phủ toàn màn hình để đánh cắp dữ liệu.

• Phát tán các lớp phủ độc hại được thiết kế riêng cho các ứng dụng ngân hàng.

• Kiểm tra trạng thái trợ năng và ghi lại các thao tác gõ phím.

• Lấy các chỉ thị đang chờ xử lý từ máy chủ lệnh.

• Truyền phát màn hình thiết bị bằng API MediaProjection.

• Khắc phục hạn chế chụp ảnh màn hình bằng 'Chế độ văn bản'.

Một tính năng đáng chú ý là "chế độ văn bản" chuyên dụng cho phép kẻ tấn công phân tích nội dung màn hình ngay cả khi ứng dụng ngăn chặn chụp ảnh màn hình thông qua cài đặt FLAG_SECURE. Điều này cho phép nhắm mục tiêu chính xác trong các giao dịch gian lận.

Việc phân phối vẫn chưa rõ ràng.

Phương thức lây nhiễm hiện tại vẫn chưa được biết rõ. Tuy nhiên, các phần mềm độc hại ngân hàng trên Android thường dựa vào các chiến dịch lừa đảo qua tin nhắn SMS và các cửa hàng ứng dụng không chính thức, do đó đây cũng có thể là các con đường lây nhiễm của loại phần mềm này.

Một mối đe dọa ngày càng gia tăng có thể lan rộng ra ngoài phạm vi Ba Lan.

Vì dịch vụ hỗ trợ tiếp cận của Android cung cấp thông tin chi tiết về hoạt động của người dùng và khả năng thao túng nội dung trên màn hình, nên nó vẫn là một công cụ mạnh mẽ đối với kẻ tấn công. Mặc dù mẫu này tập trung vào người dùng nói tiếng Ba Lan, nhưng những kẻ điều hành có thể dễ dàng chuyển sang các khu vực khác hoặc mạo danh các tổ chức khác.