FvncBot モバイルマルウェア
セキュリティアナリストは、これまで知られていなかったAndroidマルウェアの亜種「FvncBot」を特定しました。これは完全にゼロから設計された脅威です。漏洩したコードベースから機能を得る多くの最近のバンキング型トロイの木馬とは異なり、このファミリーは独自のアーキテクチャと手法を採用しています。
目次
信頼できるポーランドの銀行アプリを装う
FvncBotは、mBankの正規のセキュリティツールを装って拡散し、ポーランドのモバイルバンキング利用者を標的としています。この偽装方法と、金融操作に特化した機能の組み合わせは、運営者が標的を絞った詐欺キャンペーンに注力していることを強く示唆しています。
金融詐欺対策のためのカスタム機能
このマルウェアには、機密情報の取得や侵入先デバイスのリモート制御を目的とした広範な機能が搭載されています。Androidのアクセシビリティサービスを悪用することで、キーロギング、Webインジェクション攻撃の実行、画面コンテンツのストリーミング、そしてHVNC(隠し仮想ネットワークコンピューティング)を利用した不正な銀行取引の実行といった機能も備えています。
FvncBotは、Golden Cryptのapk0day暗号化サービスを利用して保護されています。ユーザーに提示される悪意のあるアプリは、埋め込まれたペイロードを展開するローダーとしてのみ機能します。
最新のAndroidの制限を回避する
ドロッパーは起動すると、Google Playコンポーネントを装ったものをインストールさせようとします。このプロセスは実際にはセッションベースのトリックであり、Android 13以降を搭載したデバイスのアクセシビリティ保護をバイパスするために使用され、最近の他のキャンペーンでも確認されています。
マルウェアは動作中にnaleymilva.it.comでホストされているサーバーにログデータを送信し、攻撃者がボットの活動をリアルタイムで監視できるようにします。オペレーターが埋め込んだメタデータ(識別子call_plやバージョン1.0-Pなど)は、ポーランドが最初の標的であったことを示唆しており、FvncBotがまだ開発の初期段階にあることを示唆しています。
アクセシビリティの悪用による制御の確立
展開後、マルウェアはユーザーにアクセシビリティ権限の付与を促します。昇格された権限を取得すると、HTTP経由で外部サーバーに接続してデバイスを登録し、Firebase Cloud Messaging(FCM)を使用して進行中のコマンドを受信します。
コア機能
- サポートされている主な機能の一部を以下に示します。
- リモート コントロール用の WebSocket セッションを開始または終了し、スワイプ、タップ、スクロールを有効にします。
注目すべき機能の一つは、FLAG_SECURE設定によってアプリがスクリーンショットをブロックしている場合でも、攻撃者が画面の内容を分析できる特殊な「テキストモード」です。これにより、不正取引の際に正確なターゲット設定が可能になります。
分布はまだ不明
現時点での感染経路は不明ですが、Androidを標的とするバンキング型トロイの木馬は、SMSフィッシングキャンペーンや非公式アプリストアを頻繁に利用しているため、このファミリーもこれらを感染経路として利用している可能性があります。
ポーランドを越えて拡大する可能性のある脅威の増大
Androidのユーザー補助サービスは、ユーザーアクティビティに関する詳細な情報を提供し、画面上のコンテンツを操作できるため、攻撃者にとって依然として強力なツールとなっています。このサンプルはポーランド語圏のユーザーを対象としていますが、攻撃者は簡単に新しい地域に切り替えたり、他の機関になりすましたりすることも考えられます。
