新たなマルウェア亜種「FvncBot」が発見され、Androidユーザー、特にポーランドのモバイルバンキング利用者を標的にしています。
このマルウェアは、「Klucz bezpieczeństwa Mbank」(英:Security Key Mbank)という一見正規のアプリを通じて配布され、銀行のセキュリティツールを装っています。インストールされると、このアプリはローダーとして動作し、FvncBotのペイロードを密かに展開します。
このアプリケーションはAPK0dayの暗号化(クリプティング)サービスを使用して、ローダーとペイロードのコードの両方を難読化し、セキュリティ対策による検知を困難にしています。
インストール後、アプリは「セキュリティ」目的として追加コンポーネントのインストールを促し、これが有効化されると悪意のあるペイロードが実行されます。
ローダーは、セッションベースのパッケージインストーラーを悪用することで、新しいAndroidバージョン(13以上)におけるユーザー補助の制限を回避するよう設計されています。
ボットはコマンド&コントロール(C2)サーバーと通信し、ログイベントを送信して、ボットの現在の状態や機能を追跡します。
FvncBotのペイロードが実行されると、最適な動作に必要だと主張して、ユーザーにユーザー補助サービスの有効化を促します。
許可されると、マルウェアは権限を昇格させ、気付かれないままバックグラウンドで動作しつつ、C2サーバーへデータを密かに送信できるようになります。
ボットはHTTPおよびFirebase Cloud Messaging(FCM)を介して動作し、コマンドの受信とデータ送信を行います。
たとえば、コマンドによってWebSocket接続を有効化でき、感染端末と攻撃者の間でほぼリアルタイムの双方向通信が可能になります。これは、画面ストリーミングや端末の遠隔操作といったタスクに不可欠です。
サーバーに登録されると、ボットはフィッシングやキーロギングの標的となるアプリケーションの更新リストを受け取ることができます。これらのアプリケーションは、C2サーバーから送られるコマンドによって動的に調整可能です。
さらにFvncBotは、HVNC(Hidden VNC)と呼ばれることの多い機能を実装しており、攻撃者がスクリーンショットを撮らずに端末のUIレイアウトを調査できるようにします。
これにより、通常はスクリーンショットを防ぐFLAG_SECURE設定などの保護がアプリにある場合でも、端末の画面を遠隔で再構築できます。
FvncBotは、キーロギング、画面ストリーミング、遠隔操作といった高度な機能を実現するためにユーザー補助サービスを悪用する、巧妙化が進むAndroidバンキングマルウェアを浮き彫りにしています。
このマルウェアはポーランドのユーザーを標的としていますが、その設計は容易に改変できるため、将来のバージョンでは他地域を狙ったり、別の機関になりすましたりする可能性があります。
Webインジェクトの使用により、マルウェアはOTPや決済カード情報などの機微なデータを窃取できます。
これは、注入されたフォームが被害者にとって正規のものに見えることが多いため、検知を困難にします。ユーザーは非公式なソースからアプリケーションをダウンロードすることに注意し、この種の攻撃の被害に遭わないよう、端末のセキュリティ設定が適切に構成されていることを確認する必要があります。
翻訳元: https://cyberpress.org/fvncbot-exploits-android-accessibility/