Польские пользователи смартфонов стали мишенью для усложнившейся кампании вредоносного ПО, известной как FvncBot. Аналитики CERT Polska, национальной команды по реагированию на компьютерные инциденты, детально изучили новые образцы, которые используют изощрённую многоступенчатую схему для внедрения полнофункционального шпионского импланта. В отличие от примитивных поддельных банковских приложений, эта атака имитирует установку системного компонента, получая практически неограниченный контроль над устройством через службу специальных возможностей. Инцидент демонстрирует опасную эволюцию социальной инженерии, направленную на обход базовых защитных механизмов Android.
Описание
Кампания распространяется через поддельные приложения, стилизованные под известные польские банки, такие как SGB. Однако видимая часть - лишь первая ступень сложной цепочки. Пользователь скачивает файл APK, который представляется как "Token U2F Mobilna Ochrona SGB" (Мобильная защита токена U2F SGB). При запуске приложение требует установить "Play Component" для обеспечения безопасности, что является классическим приёмом социальной инженерии. После получения разрешения на установку из неизвестных источников на устройство загружается второй этап - приложение с безобидным названием "Android V.28.11". Именно оно, в свою очередь, вынуждает пользователя включить службу специальных возможностей, маскирующуюся под Системное обновление. После активации этой службы устройство регистрируется на управляемом злоумышленниками бэкенде и начинается сбор телеметрии.
Ключевой особенностью данной атаки является её многослойность. Внешний пакет "com.junk.knock" действует как загрузчик. Он динамически, с помощью "DexClassLoader", загружает и исполняет код из скрытого файла в приватном каталоге приложения. Этот код извлекает и устанавливает второй APK-пакет ("payload_grass.apk"), который уже имеет вид "Android V.28.11". Однако и это не финальная стадия. Внутри этого пакета в ресурсах скрыт файл "qkcCg.jpg", который на самом деле является зашифрованным вредоносным модулем. Для его расшифровки используется алгоритм, аналогичный RC4, с ключом "sDjCM". После распаковки в памяти выполняется итоговый Dex-файл, содержащий полноценный имплант.
Технический анализ, проведённый экспертами, показал, что финальный модуль обладает широким спектром шпионских возможностей. Используя права службы специальных возможностей, он может перехватывать нажатия клавиш и вводимый текст, включая пароли, строить полное дерево элементов интерфейса на экране и делать его снимки. Более того, имплант поддерживает удалённое управление через веб-сокеты: оператор может инжектировать касания, свайпы, нажатия системных кнопок, а также отображать поверх всех окон фишинговые веб-страницы или HTML-оверлеи для кражи учётных данных. Реализована даже функция захвата видео с экрана в реальном времени через "MediaProjection API".
Для связи с центром управления используется инфраструктура на домене "jeliornic[.]it[.]com". В процессе регистрации устройству присваивается уникальный идентификатор и API-ключ, которые затем используются для аутентификации во всех последующих запросах. Имплант отправляет на сервер события, такие как успешная установка, получение прав и изменения текста в полях ввода, а также периодически опрашивает сервер для получения новых команд. Исследователи отмечают, что эта схема работы, включая домен бэкенда и ядро импланта, совпадает с ранее изученными образцами FvncBot, что указывает на одну и ту же операторскую группировку.
Данный случай наглядно иллюстрирует тренд на усложнение мобильных угроз. Злоумышленники больше не полагаются на одно приложение, которое сразу запрашивает подозрительные разрешения. Вместо этого используется каскадная установка, где каждый следующий этап маскируется под легитимный системный компонент, что серьёзно затрудняет обнаружение как для пользователей, так и для статических анализаторов безопасности. Основной вектор - социальная инженерия, нацеленная на обход ограничений безопасности Android путём манипуляции пользователем.
Для защиты от подобных угроз специалисты по кибербезопасности рекомендуют придерживаться базовых, но эффективных правил. Критически важно устанавливать банковские приложения исключительно из официальных магазинов - Google Play Store или App Store. Любые просьбы установить "безопасный компонент" или "среду выполнения" извне этих магазинов должны рассматриваться как крайне подозрительные. Особенным красным флагом является последовательная просьба приложения сначала предоставить разрешение на установку из неизвестных источников, а затем немедленно активировать службу специальных возможностей. В случае получения звонка от лица банка с предупреждением об угрозе следует завершить разговор и перезвонить по официальному номеру, указанному на сайте банка, чтобы избежать спуфинга номера. Осведомлённость пользователей о таких тактиках остаётся одной из ключевых линий обороны против быстро развивающихся многоступенчатых атак.
Индикаторы компрометации
IPv4
- 104.21.59.199
URLs
- https://jeliornic.it.com
- https://jeliornic.it.com/api/v1/devices/register
- https://jeliornic.it.com/api/v1/tracking/events
SHA256
- 3d980d21f116bd499bdd0b52b570cbb4ddcbf47aa2dd96b5aae43dbce51f6249
- 56c28cda7650e6d9287b8c260594bc759f9f7b47cf74b27ad914de0a57b315c6
- 91a22dcd68500e33ee0aa45d40dc00df58bc1d8e3559a273ff1ab8c3d2d94486
- 96b47838ba48b881f4b8e007c5b8c2963db516556865695848ee252571fe5893
- b4708b853ff64530776e8179a748b7e9469eb88491bceaffe3bf16cfe366d75a
