Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware móvil FvncBot

Malware móvil FvncBot

Por Mezo en Malware móvil
Traducir a:

Los analistas de seguridad han identificado una cepa de malware para Android previamente desconocida, llamada FvncBot, una amenaza diseñada completamente desde cero. A diferencia de muchos troyanos bancarios modernos que derivan sus capacidades de bases de código filtradas, esta familia sigue su propia arquitectura y técnicas.

Disfrazada de aplicación bancaria polaca de confianza

FvncBot se propaga bajo la apariencia de una herramienta de seguridad legítima de mBank, dirigida específicamente a los usuarios de banca móvil en Polonia. Esta elección, sumada a una funcionalidad diseñada para la manipulación financiera, indica claramente que sus operadores se centran en campañas de fraude altamente selectivas.

Funciones personalizadas para combatir el fraude financiero

El malware incluye un amplio conjunto de capacidades diseñadas para capturar información confidencial y controlar remotamente los dispositivos comprometidos. Al abusar de los servicios de accesibilidad de Android, añade keylogging, ejecuta ataques de inyección web, transmite el contenido de la pantalla y utiliza la computación en red virtual oculta (HVNC) para facilitar la actividad bancaria no autorizada.

FvncBot se basa en el servicio de cifrado apk0day de Golden Crypt para su protección. La aplicación maliciosa que se muestra al usuario funciona simplemente como un cargador, implementando la carga útil integrada.

Cómo eludir las restricciones modernas de Android

Una vez lanzado, el dropper intenta persuadir a las víctimas para que instalen lo que parece ser un componente de Google Play. Este proceso es, en realidad, un truco basado en la sesión que se utiliza para eludir las protecciones de accesibilidad en dispositivos con Android 13 y versiones posteriores, una técnica observada en otras campañas recientes.

Durante su funcionamiento, el malware envía datos de registro a un servidor alojado en naleymilva.it.com, lo que permite a los atacantes monitorear la actividad del bot en tiempo real. Los metadatos incrustados por los operadores, como el identificador call_pl y la versión 1.0‑P, apuntan a Polonia como el objetivo inicial y sugieren que FvncBot aún se encuentra en una fase inicial de desarrollo.

Establecer el control mediante el abuso de la accesibilidad

Tras la implementación, el malware solicita al usuario que otorgue permisos de accesibilidad. Con privilegios elevados, contacta con un servidor externo a través de HTTP para registrar el dispositivo y utiliza Firebase Cloud Messaging (FCM) para recibir comandos continuos.

Capacidades básicas

  • A continuación se muestran algunas de las principales funciones admitidas:
  • Inicie o finalice sesiones WebSocket para control remoto, habilitando deslizamientos, toques y desplazamientos.
  • Reenviar registros de accesibilidad, listas de aplicaciones instaladas e información del dispositivo a los operadores.
  • Mostrar u ocultar superposiciones de pantalla completa para evitar el robo de datos.
  • Entregar superposiciones maliciosas diseñadas para aplicaciones bancarias específicas.
  • Validar el estado de accesibilidad y registrar las pulsaciones de teclas.
  • Recuperar instrucciones pendientes del servidor de comandos.
  • Transmita la pantalla del dispositivo mediante la API MediaProjection.
  • Cómo superar las restricciones de captura de pantalla con el "Modo texto"

Una característica destacada es un "modo de texto" especializado que permite a los atacantes analizar el contenido de la pantalla incluso cuando las aplicaciones impiden las capturas de pantalla mediante la configuración FLAG_SECURE. Esto permite una focalización precisa durante las transacciones fraudulentas.

La distribución aún no está clara

Se desconoce el método de infección actual. Sin embargo, los troyanos bancarios para Android suelen recurrir a campañas de phishing por SMS y tiendas de aplicaciones no oficiales, lo que los convierte también en vectores probables de esta familia.

Una amenaza creciente que podría expandirse más allá de Polonia

Dado que el servicio de accesibilidad de Android proporciona información detallada sobre la actividad del usuario y la capacidad de manipular el contenido en pantalla, sigue siendo una herramienta poderosa para los atacantes. Aunque esta muestra se centra en usuarios de habla polaca, sus operadores podrían cambiar fácilmente a nuevas regiones o suplantar la identidad de otras instituciones.

Tendencias

Mas Visto

Cargando...