FvncBot Mobile Malware
Sicherheitsanalysten haben eine bisher unbekannte Android-Malware-Variante namens FvncBot identifiziert. Diese Bedrohung wurde vollständig von Grund auf neu entwickelt. Im Gegensatz zu vielen modernen Banking-Trojanern, die ihre Fähigkeiten aus durchgesickerten Quellcodes beziehen, verwendet diese Familie eine eigene Architektur und eigene Techniken.
Inhaltsverzeichnis
Getarnt als vertrauenswürdige polnische Banking-App
FvncBot verbreitet sich unter dem Deckmantel eines legitimen Sicherheitstools der mBank und zielt gezielt auf mobile Banking-Nutzer in Polen ab. Die Wahl dieser Tarnung in Verbindung mit Funktionen, die speziell für Finanzmanipulationen entwickelt wurden, deutet stark darauf hin, dass die Betreiber auf hochgradig zielgerichtete Betrugskampagnen fokussiert sind.
Maßgeschneiderte Funktionen zur Bekämpfung von Finanzbetrug
Die Schadsoftware verfügt über umfangreiche Funktionen zum Abfangen sensibler Daten und zur Fernsteuerung kompromittierter Geräte. Durch Missbrauch der Android-Bedienungshilfen ermöglicht sie Keylogging, Web-Injection-Angriffe, das Streamen von Bildschirminhalten und die Nutzung von Hidden Virtual Network Computing (HVNC) für unautorisierte Bankgeschäfte.
FvncBot nutzt zum Schutz den Verschlüsselungsdienst apk0day von Golden Crypt. Die dem Benutzer präsentierte Schadsoftware dient lediglich als Loader, der die eingebettete Payload ausführt.
Umgehen moderner Android-Beschränkungen
Nach dem Start versucht der Schadsoftware-Trick, Opfer zur Installation einer vermeintlichen Google Play-Komponente zu verleiten. Tatsächlich handelt es sich dabei um einen sitzungsbasierten Trick, der die Barrierefreiheitsfunktionen von Geräten mit Android 13 und höher umgeht – eine Technik, die auch in anderen aktuellen Angriffen zum Einsatz kam.
Während des Betriebs sendet die Schadsoftware Protokolldaten an einen Server unter naleymilva.it.com, wodurch Angreifer die Bot-Aktivität in Echtzeit überwachen können. Eingebettete Metadaten, wie die Kennung call_pl und die Versionsnummer 1.0-P, deuten auf Polen als ursprüngliches Ziel hin und lassen vermuten, dass sich FvncBot noch in einem frühen Entwicklungsstadium befindet.
Erlangung von Kontrolle durch Missbrauch der Barrierefreiheit
Nach der Installation fordert die Schadsoftware den Benutzer auf, Zugriffsrechte zu erteilen. Sobald diese erweiterten Berechtigungen erlangt sind, kontaktiert sie einen externen Server über HTTP, um das Gerät zu registrieren, und nutzt Firebase Cloud Messaging (FCM), um fortlaufend Befehle zu empfangen.
Kernkompetenzen
- Nachfolgend sind einige der wichtigsten unterstützten Funktionen aufgeführt:
- WebSocket-Sitzungen zur Fernsteuerung starten oder beenden, um Wischgesten, Tippen und Scrollen zu ermöglichen.
Eine bemerkenswerte Funktion ist ein spezieller „Textmodus“, der es Angreifern ermöglicht, Bildschirminhalte zu analysieren, selbst wenn Apps Screenshots durch die Einstellung FLAG_SECURE verhindern. Dies ermöglicht ein präzises Targeting bei betrügerischen Transaktionen.
Verbreitung noch unklar
Die aktuelle Infektionsmethode ist weiterhin unbekannt. Da Android-Banking-Trojaner jedoch häufig auf SMS-Phishing-Kampagnen und inoffizielle App-Stores setzen, sind diese wahrscheinlich auch für diese Trojanerfamilie als Einfallstore in Frage gekommen.
Eine wachsende Bedrohung, die sich über Polen hinaus ausbreiten könnte
Da der Barrierefreiheitsdienst von Android detaillierte Einblicke in die Nutzeraktivitäten und die Möglichkeit zur Manipulation von Bildschirminhalten bietet, bleibt er ein mächtiges Werkzeug für Angreifer. Obwohl sich dieses Beispiel auf polnischsprachige Nutzer konzentriert, könnten die Betreiber problemlos in andere Regionen wechseln oder sich als andere Institutionen ausgeben.
