Ένα επικίνδυνο νέο τραπεζικό κακόβουλο λογισμικό Android που ονομάζεται FvncBot wόπως παρατηρήθηκε για πρώτη φορά στις 25 Νοεμβρίου 2025. Αυτό το κακόβουλο εργαλείο έχει σχεδιαστεί για να κλέβει ευαίσθητες οικονομικές πληροφορίες καταγράφοντας πατήματα πλήκτρων, ηχογραφώντας οθόνες και εισάγοντας ψεύτικες σελίδες σύνδεσης σε τραπεζικές εφαρμογές.
Το κακόβουλο λογισμικό εξαπλώνεται αρχικά μέσω μιας ψεύτικης εφαρμογής μεταμφιεσμένης ως εργαλείο ασφαλείας για τη mBank, μια δημοφιλή πολωνική τράπεζα.
Η εφαρμογή, με το όνομα “Klucz bezpieczeństwa mBank” (Ασφάλεια κλειδιού mBank), λειτουργεί ως “φορτωτής”. Μόλις ένας χρήστης εγκαταστήσει και ανοίξει αυτήν την ψεύτικη εφαρμογή, κατεβάζει κρυφά και εγκαθιστά το κύριο ωφέλιμο φορτίο FvncBot.
Για να κρύψει τη δραστηριότητά του, το κακόβουλο λογισμικό χρησιμοποιεί μια γνωστή υπηρεσία συσκότισης που ονομάζεται apk0day, καθιστώντας δυσκολότερο τον εντοπισμό των συστημάτων ασφαλείας.
.webp.jpeg "Νέο FvncBot Android Banking που επιτίθεται σε χρήστες για να καταγράφει πληκτρολογήσεις και να εισάγει κακόβουλα ωφέλιμα φορτία")
Οι ερευνητές λένε ότι το FvncBot είναι διαφορετικό από άλλα τραπεζικά κακόβουλα προγράμματα. Αντί να επαναχρησιμοποιήσει κώδικα από παλαιότερες απειλές όπως το Ermac ή το Hook, ο κώδικάς του φαίνεται εντελώς νέος.
Το FvncBot είναι εξαιρετικά προηγμένο και περιλαμβάνει πολλά ισχυρά χαρακτηριστικά για την εξαπάτηση των θυμάτων:
| Χαρακτηριστικό | Περιγραφή |
| Keylogging | Καταχράται τις Υπηρεσίες Προσβασιμότητας Android για να καταγράφει κάθε πάτημα πλήκτρων, συμπεριλαμβανομένων κωδικών πρόσβασης, PIN και OTP. Καταγράφει έως και 1.000 συμβάντα πριν από την εξαγωγή μέσω HTTP ή WebSocket. |
| Επιθέσεις Web-Inject | Εμφανίζει πλαστά παράθυρα επικάλυψης σε νόμιμες τραπεζικές εφαρμογές για να εξαπατήσει τους χρήστες να εισαγάγουν διαπιστευτήρια. Σελίδες ηλεκτρονικού ψαρέματος που λαμβάνονται από διακομιστή εντολών. |
| Ροή οθόνης | Μεταδίδει την οθόνη της συσκευής σε πραγματικό χρόνο χρησιμοποιώντας συμπίεση βίντεο H.264 για αποτελεσματική χρήση εύρους ζώνης και συνεχή παρακολούθηση. |
| HVNC (Κρυφό VNC) | Ενεργοποιεί τον απομακρυσμένο έλεγχο συσκευής δημιουργώντας αναπαραστάσεις στοιχείων JSON UI. Επιτρέπει στους εισβολείς να πλοηγούνται, να σύρουν, να κάνουν κλικ και να εισάγουν δεδομένα. |
| Εκτέλεση εξ αποστάσεως εντολών | Χρησιμοποιεί σύνδεση WebSocket και Firebase Cloud Messaging (FCM) για αμφίδρομη επικοινωνία σχεδόν σε πραγματικό χρόνο με διακομιστές εντολών. |
| Χειρισμός συσκευής | Δυνατότητα κλειδώματος συσκευής, σίγασης ήχου, εμφάνισης μαύρων επικαλύψεων, εκκίνησης εφαρμογών και εισαγωγής αυθαίρετων δεδομένων σε πεδία κειμένου. |
| Συσκότιση κώδικα | Σχηματίστηκε με χρήση της υπηρεσίας κρυπτογράφησης apk0day που λειτουργεί από τον ηθοποιό GoldenCrypt για να αποφύγει τον εντοπισμό και την ανάλυση ασφαλείας. |
Μπορούν να σύρουν, να κάνουν κλικ, ακόμη και να εισάγουν κείμενο για να αδειάσουν τραπεζικούς λογαριασμούς ενώ το τηλέφωνο εμφανίζεται κλειδωμένο ή μαυρισμένο.
Η Intel471 ανακάλυψη του FvncBot υπογραμμίζει τη σημασία της λήψης εφαρμογών μόνο από επίσημες πηγές, όπως το Google Play Store.
.webp.jpeg "Νέο FvncBot Android Banking που επιτίθεται σε χρήστες για να καταγράφει πληκτρολογήσεις και να εισάγει κακόβουλα ωφέλιμα φορτία")
Οι χρήστες θα πρέπει να είναι προσεκτικοί με τις «ενημερώσεις ασφαλείας» ή τις τραπεζικές εφαρμογές που βρίσκονται σε ιστότοπους τρίτων ή αποστέλλονται μέσω απευθείας μηνυμάτων, καθώς αυτές είναι κοινές παγίδες που χρησιμοποιούνται για την παράδοση αυτού του τύπου κακόβουλου λογισμικού.
