FvncBotマルウェアが見つかり、ユーザーのタイピングをトラップできます
FvncBotマルウェアが見つかり、Androidユーザーの印刷をトラップし、より多くのマルウェアをインストールすることができます。
Androidのモビリティは、使用のリスクを犠牲にして必要とされているようです。システムは様々な開発者に開かれているため、ハッカーが発生するマルウェアの作成に「関与」し、このニュースのように毎日ユーザーに恐怖を与えています。
GBウェブサイトの報告によると、ハッカーたちは、銀行口座からの吸引タイプのマルウェア配布キャンペーン、またはFvncBotと呼ばれる新しいバンキングトロイの検出に言及しています。このマルウェアは、サイバーセキュリティの専門家組織であるIntel 471の研究チームによって検出されたAndroidオペレーティングシステム上の一群��の携帯電話ユーザーに攻撃を集中させます。研究チームは、マルウェアが昨年11月に検出され、ポーランドの有名な銀行mbankのアプリケーションを偽装してパッケージの下で爆発したことを発見しました。
技術データに関して、研究チームは、完全に書き換えられたマルウェアとして検出されたFvncBotマルウェアが、ErmacやHookなどの他のマルウェア開発者ハッカーに人気のある同じタイプのマルウェアのソースコードに依存していないことを明らかにしました。被害者のマシンに埋め込まれる方法は、2つのステップに分かれています
最初のステップは、偽のアプリケーションをマルウェア拡張機能として使用するか、Google Play(Playコンポーネント)の要素であると主張するローダーを使用して、銀行アプリケーションをより安全かつ安定して使用することです。
インストールが完了した後、Loaderは被害者のマシン上の偽のアプリケーションのアセットに隠された実際のペイロードファイルを展開します。
これらの2つのコンポーネントは、難読化を混乱させるためにapk0 day Crypting Serviceとして使用され、被害者のマシン上で発生させることができました。
マルウェアが被害者のマシンに埋め込まれた後、マルウェアは被害者のタイピングをトラップするために使用されるアクセシビリティモードにアクセスする許可を要求します(キーロギング)。このキャプチャは、被害者のパスワードと機密情報を盗むことを意図しており、財務情報に焦点を当てています。収集されたデータは、ハッカーをHTTPリクエストを介してC 2コントロールサーバーまたはコマンドに送信する前に、最大1,000個のデータを保存できるバッファメモリセクションに保存されます。
さらに、マルウェアは画面をオーバーレイするために使用されます。Web-Injection攻撃でWebViewを使用することで、被害者が銀行アプリを開いているときにJava Scriptが使用されます。被害者が実際に銀行アプリを入力する代わりに、シークレットグレイルの表示には、銀行アプリのパスワードを欺くためにWebViewで開かれたアプリに似た欺瞞画面が表示されます。マルウェアによって狙われたアプリケーションのリストとフィッシングWebディスプレイのURLは、C 2サーバーからダウンロードされ、マシンに保存されます。
それだけでなく、マルウェアには多くの機能があり、ハッカーがWebソケットを介してマシンを制御するためのチャネルを開くことができます。これにより、ハッカーは自由に画面をスクロール、クリック、スワイプしたり、アプリケーションを開いて自分でデータを入力したり、クリップボード上のデータを制御したりすることができます。さらに悪いことに、ハッカーは自分の活動をカバーするために黒い画面を作成したり、被害者のマシンをミュートしたり、ログに記録したりすることができます。また、Codec H.264ビデオエンコーディングを使用してMedia Projection APIを介して画面をハッカーにストリーミングすることもできます。
さらに、ハッカーにとってより便利にするために、マルウェアにはVirtual Network Computing(VNC)機能を介してテ��キストモードが実装されており、アクセシビリティモードを介して画面上のディスプレイの構造を保存します。スクリーンショットを使用するために再構築は必要ありません。