FvncBot 移动恶意软件

通过Mezo在移动恶意软件

翻译为：

安全分析师发现了一种此前未知的安卓恶意软件，名为FvncBot，它完全是从零开始设计的。与许多利用泄露代码库构建功能的现代银行木马不同，该恶意软件家族采用其自身独特的架构和技术。

FvncBot伪装成mBank的合法安全工具进行传播，其目标直指波兰的手机银行用户。这种伪装方式，加上其专为金融操纵而设计的功能，强烈表明其运营者专注于高针对性的欺诈活动。

该恶意软件包含一系列强大的功能，旨在窃取敏感信息并远程控制受感染的设备。它利用安卓系统的辅助功能服务，实现键盘记录、网页注入攻击、屏幕内容流传输，并利用隐藏虚拟网络计算 (HVNC) 技术进行未经授权的银行交易。

FvncBot 依赖 Golden Crypt 提供的 apk0day 加密服务进行保护。呈现给用户的恶意应用程序仅起到加载器的作用，用于部署嵌入的有效载荷。

一旦启动，该恶意软件会试图诱骗受害者安装看似 Google Play 组件的程序。实际上，这是一种基于会话的技巧，用于绕过运行 Android 13 及更高版本设备的辅助功能保护，这种技术也曾在其他近期的攻击活动中出现过。

在运行过程中，该恶意软件会将日志数据发送到托管在 naleymilva.it.com 的服务器，使攻击者能够实时监控僵尸网络的活动。攻击者嵌入的元数据，例如标识符 call_pl 和版本号 1.0-P，表明波兰是其最初的攻击目标，并暗示 FvncBot 仍处于早期开发阶段。

部署完成后，恶意软件会提示用户授予其访问权限。获得提升的权限后，它会通过 HTTP 协议联系外部服务器注册设备，并使用 Firebase 云消息传递 (FCM) 接收后续指令。

核心能力

将辅助功能日志、已安装应用列表和设备信息转发给运营商。

显示或隐藏用于防止数据窃取的全屏叠加层。

投放专为特定银行应用程序设计的恶意覆盖层。

验证辅助功能状态并记录按键操作。

从命令服务器检索待处理的指令。

使用 MediaProjection API 流式传输设备屏幕。

利用“文本模式”克服屏幕截图限制。

一个显著的特点是其特有的“文本模式”，即使应用程序通过 FLAG_SECURE 设置阻止屏幕截图，攻击者也能利用该模式分析屏幕内容。这使得攻击者能够在欺诈交易中精准定位目标。

目前的感染途径尚不清楚。然而，安卓银行木马经常利用短信钓鱼活动和非官方应用商店，因此这些途径也可能是该木马家族的传播途径。

由于安卓系统的辅助功能服务能够深入洞察用户活动并操控屏幕内容，因此它仍然是攻击者的强大工具。虽然此样本主要针对波兰语用户，但其操作者很容易切换到其他地区或冒充其他机构。

搜索