FvncBot 行動惡意軟體

行動惡意軟體年Mezo年

翻譯為：

安全分析師發現了一種先前未知的安卓惡意軟體，名為FvncBot，它完全是從零開始設計的。與許多利用洩漏程式碼庫建立功能的現代銀行木馬不同，該惡意軟體家族採用其自身獨特的架構和技術。

FvncBot偽裝成mBank的合法安全工具進行傳播，其目標直指波蘭的手機銀行用戶。這種偽裝方式，加上其專為金融操縱而設計的功能，強烈表明其經營者專注於高針對性的詐欺活動。

該惡意軟體包含一系列強大的功能，旨在竊取敏感資訊並遠端控制受感染的裝置。它利用安卓系統的輔助功能服務，實現鍵盤記錄、網頁注入攻擊、螢幕內容流傳輸，並利用隱藏虛擬網路運算 (HVNC) 技術進行未經授權的銀行交易。

FvncBot 依賴 Golden Crypt 提供的 apk0day 加密服務來保護。呈現給使用者的惡意應用程式僅起到載入器的作用，用於部署嵌入的有效載荷。

一旦啟動，該惡意軟體會試圖誘騙受害者安裝看似 Google Play 元件的程式。實際上，這是一種基於會話的技巧，用於繞過運行 Android 13 及更高版本設備的輔助功能保護，這種技術也曾在其他近期的攻擊活動中出現過。

在運行過程中，該惡意軟體會將日誌資料傳送到託管在 naleymilva.it.com 的伺服器，使攻擊者能夠即時監控殭屍網路的活動。攻擊者嵌入的元數據，例如標識符 call_pl 和版本號 1.0-P，表明波蘭是其最初的攻擊目標，並暗示 FvncBot 仍處於早期開發階段。

部署完成後，惡意軟體會提示使用者授予其存取權限。獲得提升的權限後，它會透過 HTTP 協定聯繫外部伺服器註冊設備，並使用 Firebase 雲端訊息傳遞 (FCM) 接收後續指令。

核心能力

將輔助功能日誌、已安裝應用程式清單和設備資訊轉發給運營商。

顯示或隱藏用於防止資料竊取的全螢幕疊加層。

投放專為特定銀行應用程式設計的惡意覆蓋層。

驗證輔助功能狀態並記錄按鍵操作。

從命令伺服器檢索待處理的指令。

使用 MediaProjection API 串流裝置畫面。

利用「文字模式」克服螢幕截圖限制。

一個顯著的特點是其特有的“文字模式”，即使應用程式透過 FLAG_SECURE 設定阻止螢幕截圖，攻擊者也能利用該模式分析螢幕內容。這使得攻擊者能夠在詐欺交易中精準定位目標。

目前的感染途徑尚不清楚。然而，安卓銀行木馬經常利用簡訊釣魚活動和非官方應用程式商店，因此這些途徑也可能是該木馬家族的傳播途徑。

由於安卓系統的輔助功能服務能夠深入洞察用戶活動並操控螢幕內容，因此它仍然是攻擊者的強大工具。雖然此樣本主要針對波蘭語用戶，但其操作者很容易切換到其他地區或冒充其他機構。

搜索