Российских пользователей предупредили об Android‑трояне FvncBot с расширенными функциями удалённого управления смартфоном

Исследователи Intel 471 сообщили о появлении нового банковского трояна FvncBot для Android. Эта вредоносная программа маскируется под приложение известного банка и привлекает внимание тем, что построена на самостоятельной архитектуре. В отчёте исследовательской компании отмечается, что код не связан с утёкшими проектами прошлых поколений вроде Ermac или Hook. Название FvncBot образовано от идентификатора пакета com.fvnc.app.

Заражение строится в два шага. Потенциальной жертве предлагают установить так называемый «компонент Play» якобы для защиты и стабильной работы. На практике пользователь получает загрузчик, внутри которого размещён нешифрованный вредоносный модуль. И загрузчик, и основное вредоносное приложение упакованы через сервис apk0day, которым, по данным специалистов, управляет пользователь под ником GoldenCrypt.

Далее троян активно применяет специальные возможности Android, предназначенные для людей с ограниченными возможностями, чтобы встроить полноценный кейлоггер. Он незаметно собирает всё, что вводится в текстовые поля, например пароли и одноразовые коды.

Полученные данные накапливаются в буфере примерно 1000 элементов и периодически отправляются злоумышленникам. Специалисты Intel 471 пишут, что такая тактика позволяет перехватывать даже временные данные без участия пользователя.

Помимо кейлоггера, FvncBot способен подменять интерфейс банковских приложений через наложенные окна. Когда жертва открывает приложение банка, поверх отображается поддельная страница в WebView. Скрипты собирают логины и пароли в момент ввода. Список банковских приложений, которые нужно имитировать, троян получает с управляющего сервера, о чём говорится в материалах Intel 471.

Отдельный интерес представляет возможность удалённого контроля. FvncBot использует WebSocket и позволяет злоумышленникам буквально управлять устройством, то есть выполнять свайпы, прокручивать страницы, нажимать кнопки, запускать приложения и заменять текст в буфере обмена. Чтобы скрыть деятельность, вредоносный код способен блокировать экран, отключать звук и показывать чёрные наложения. Для наблюдения применяется потоковая передача экрана через MediaProjection с кодированием H.264, что существенно экономит трафик и ускоряет работу по сравнению с устаревшими способами, основанными на снимках экрана.