Logiciel malveillant mobile FvncBot

Par Mezo en Logiciels malveillants mobiles

Se traduisent par :

Des analystes en sécurité ont identifié une souche de logiciel malveillant Android jusqu'alors inconnue, nommée FvncBot, une menace conçue de A à Z. Contrairement à de nombreux chevaux de Troie bancaires modernes qui exploitent des fuites de code source, cette famille de logiciels malveillants repose sur une architecture et des techniques qui lui sont propres.

Table des matières

Déguisée en application bancaire polonaise de confiance

FvncBot se propage sous l'apparence d'un outil de sécurité légitime de mBank, ciblant directement les utilisateurs de services bancaires mobiles en Pologne. Ce choix de dissimulation, associé à des fonctionnalités conçues pour la manipulation financière, indique clairement que ses opérateurs privilégient des campagnes de fraude très ciblées.

Fonctionnalités personnalisées pour la fraude financière

Ce logiciel malveillant intègre un ensemble complet de fonctionnalités conçues pour capturer des informations sensibles et contrôler à distance les appareils compromis. En exploitant les services d'accessibilité d'Android, il ajoute l'enregistrement des frappes au clavier, exécute des attaques par injection web, diffuse le contenu de l'écran et utilise le protocole HVNC (Hidden Virtual Network Computing) pour faciliter les opérations bancaires non autorisées.

FvncBot utilise le service de chiffrement apk0day de Golden Crypt pour sa protection. L'application malveillante présentée à l'utilisateur sert uniquement de chargeur, déployant la charge utile intégrée.

Contourner les restrictions d’Android moderne

Une fois lancé, le programme d'installation tente de persuader les victimes d'installer ce qui semble être un composant Google Play. Il s'agit en réalité d'une arnaque basée sur la session, utilisée pour contourner les protections d'accessibilité sur les appareils fonctionnant sous Android 13 et versions ultérieures ; une technique déjà observée dans d'autres campagnes récentes.

Lors de son fonctionnement, le logiciel malveillant envoie des données de journalisation à un serveur hébergé sur naleymilva.it.com, permettant ainsi aux attaquants de surveiller l'activité du bot en temps réel. Les métadonnées intégrées par les opérateurs, telles que l'identifiant call_pl et la version 1.0-P, indiquent que la Pologne était la cible initiale et suggèrent que FvncBot est encore en phase de développement préliminaire.

Établir le contrôle par l’abus d’accessibilité

Après son déploiement, le logiciel malveillant invite l'utilisateur à autoriser l'accès. Une fois les privilèges élevés obtenus, il contacte un serveur externe via HTTP pour enregistrer l'appareil et utilise Firebase Cloud Messaging (FCM) pour recevoir des commandes en continu.

Capacités de base

Voici quelques-unes des principales fonctions prises en charge :
Lancer ou mettre fin à des sessions WebSocket pour le contrôle à distance, permettant les balayages, les appuis et le défilement.
Transmettre aux opérateurs les journaux d'accessibilité, les listes d'applications installées et les informations sur l'appareil.

Afficher ou masquer les superpositions plein écran pour le vol de données.

Diffuser des superpositions malveillantes conçues pour des applications bancaires spécifiques.

Valider l'état d'accessibilité et enregistrer les frappes au clavier.

Récupérer les instructions en attente auprès du serveur de commandes.

Diffuser l'écran de l'appareil à l'aide de l'API MediaProjection.

Contourner les restrictions de capture d'écran grâce au « mode texte ».

L'une de ses caractéristiques notables est un « mode texte » spécialisé qui permet aux attaquants d'analyser le contenu de l'écran même lorsque les applications empêchent les captures d'écran via le paramètre FLAG_SECURE. Ceci permet un ciblage précis lors de transactions frauduleuses.

La distribution reste incertaine.

Le mode d'infection actuel reste inconnu. Cependant, les chevaux de Troie bancaires Android s'appuient fréquemment sur des campagnes d'hameçonnage par SMS et des boutiques d'applications non officielles, ce qui en fait des vecteurs probables pour cette famille de logiciels malveillants.

Une menace croissante qui pourrait s’étendre au-delà de la Pologne

Le service d'accessibilité d'Android, grâce à sa capacité à analyser en profondeur l'activité des utilisateurs et à manipuler le contenu affiché à l'écran, demeure un outil puissant pour les attaquants. Bien que cet exemple se concentre sur des utilisateurs polonais, ses opérateurs pourraient facilement cibler d'autres régions ou usurper l'identité d'autres institutions.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Logiciel malveillant mobile FvncBot

Déguisée en application bancaire polonaise de confiance

Fonctionnalités personnalisées pour la fraude financière

Contourner les restrictions d’Android moderne

Établir le contrôle par l’abus d’accessibilité

La distribution reste incertaine.

Une menace croissante qui pourrait s’étendre au-delà de la Pologne

Soumettre un Commentaire

Tendance

Cosollic.com

Ptifirelaria.com

Thicationize.co.in

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord est bloqué sur un écran gris

Discord affiche un écran noir lors du partage d'écran