これまで文書化されていなかったAndroid向けバンキングトロイの木馬「FvncBot」。2025年後半に初めて確認されたこの高度なマルウェアは、ポーランドの大手金融機関mBankのセキュリティアプリを装っています。
ErmacやHookのような流出ソースのコードを再利用する最近の脅威とは異なり、FvncBotは完全に新規に作られたもののようで、脅威アクターが最新の防御を回避するために独自開発へ投資し続けていることを示しています。
攻撃は、「Klucz bezpieczeństwa Mbank」(mBankセキュリティキー)に偽装した悪意あるローダーから始まります。
ユーザーが最初のアプリをインストールすると、安定性のために「Play」コンポーネントをダウンロードするよう促されます。この操作により、実際のFvncBotペイロードが展開され、これはアプリのアセット内に暗号化されずに保存されています。
ローダーアプリケーションが起動されると、アプリのセキュリティと安定性を確保する「Play」コンポーネントのインストールを求める情報が表示されました。緑色のボタン「ZAINSTALUJ KOMPONENT」(英:コンポーネントをインストール)をクリックすると、インストールプロセスが開始されました。
ローダーとペイロードの両方はAPK0day暗号化サービスを用いて難読化されており、マルウェア開発者とGoldenCryptアクターとの潜在的な関連を示唆しています。
FvncBotがAndroidユーザーを標的に
2025年11月25日、Intel 471の研究者は、出所不明のAndroidバンキングトロイの木馬のローダーとして機能する悪意あるアプリケーションを観測しました。
研究者は、動的にロードされるDalvik実行可能(DEX)ファイルに適切なパッチを適用し、ログメッセージをダンプしてlogcatツールで表示しました。
インストール後、FvncBotはAndroidのアクセシビリティサービスの悪用に大きく依存します。被害者にこれらの高権限の付与を強要し、事実上デバイスの制御を明け渡させます。主な機能は次のとおりです:
- キーロギング: マルウェアはテキストフィールドをスニッフィングすることで、パスワードやOTPなどの機微な入力を取得します。データはバッファリングされ、まとめて外部送信されます。
- Webインジェクト: 特定の標的アプリケーションを監視することで、正規の銀行インターフェースを模したオーバーレイウィンドウを起動し、認証情報を窃取できます。
- HVNC(Hidden Virtual Network Computing): 「テキストモード」機能により、スクリーンショットをブロックするアプリ(FLAG_SECUREを使用)でもUIツリーを調査できます。これにより、セキュリティアラートを発生させることなく、攻撃者が遠隔で画面を再構成できます。
- 画面ストリーミング: マルウェアはMediaProjection APIを介したH.264動画エンコードを実装しており、被害者のデバイス画面を高効率・低遅延で攻撃者へライブ配信できます。
通信インフラ
FvncBotは二重チャネルの通信構造を利用します。標準的なデータの外部送信は、JSONオブジェクトを含む暗号化されていないHTTP POSTリクエストで行われます。
しかしリアルタイム制御のために、このマルウェアはFirebase Cloud Messaging(FCM)を使用してコマンドを受信します。そうしたコマンドの一つは、マルウェアに組み込まれたFast Reverse Proxy(FPR)ツールを用いてWebSocket接続を開始します。
この双方向接続はボットのリモート制御機能にとって重要で、攻撃者がジェスチャー(スワイプ、クリック)を実行し、デバイスをライブで操作できるようにします。
現在、このキャンペーンはcall_plビルド識別子から示されるようにポーランドのユーザーを標的にしています。しかし、C2サーバーから動的に取得されるWebインジェクトのモジュール性により、オペレーターは他地域や他機関を標的に容易に切り替えられます。
FvncBotの出現は、根強い傾向を浮き彫りにしています。攻撃者はマルウェアをセキュリティツールに偽装し、アクセシビリティAPIを悪用してOSレベルの保護を回避することに成功しています。
セキュリティ担当者は、この新しいファミリーに関連する指標、特に特定のパッケージ名com.fvnc.appおよびnaleymilva.it.comへの通信を監視すべきです。
翻訳元: https://gbhackers.com/fvncbot-targets-android/
