概要:FvncBotの登場
2025年末に初めて確認された「FvncBot」は、新たな脅威となるAndroidバンキングトロイの木馬です。この洗練されたマルウェアは、ポーランドの大手金融機関mBankのセキュリティアプリケーションを装っています。ErmacやHookのような既存のリークコードを再利用する多くの脅威とは異なり、FvncBotは完全に新規に開発されたと見られており、脅威アクターが現代の防御策を回避するためにオリジナルの開発に投資し続けていることを示しています。
攻撃の手口
攻撃は、「Klucz bezpieczeństwa Mbank」(mBankセキュリティキー)と偽装された悪意のあるローダーから始まります。ユーザーが最初のアプリをインストールすると、安定性確保のために「Play」コンポーネントをダウンロードするよう促されます。この操作によって、暗号化されていない状態でアプリのアセット内に保存されている実際のFvncBotペイロードが展開されます。
- 初期ローダー: 「Klucz bezpieczeństwa Mbank」を装う。
- ペイロードの展開: ユーザーに「Play」コンポーネントのインストールを促し、FvncBotペイロードを展開。
- 難読化: ローダーとペイロードの両方がAPK0dayクリプティングサービスを使用して難読化されており、マルウェア開発者とGoldenCryptアクターとの関連性が示唆されています。
FvncBotの主な機能
FvncBotは、Androidのアクセシビリティサービスを悪用することに大きく依存しています。被害者をだましてこれらの高レベルの特権を許可させることで、デバイスの制御を実質的に乗っ取ります。その主な機能は以下の通りです。
- キーロギング: マルウェアは、パスワードやOTPなどの機密性の高い入力をテキストフィールドから傍受し、バッチでデータを収集・外部送信します。
- Webインジェクト: 特定のターゲットアプリケーションを監視し、正規のバンキングインターフェースを模倣したオーバーレイウィンドウを起動して、認証情報を窃取します。
- HVNC(Hidden Virtual Network Computing): 「テキストモード」機能により、スクリーンショットをブロックするアプリ(FLAG_SECUREを使用)であってもUIツリーを検査でき、セキュリティアラートをトリガーせずにリモートで画面を再構築できます。
- スクリーンストリーミング: MediaProjection APIを介したH.264ビデオエンコーディングを実装し、被害者のデバイスの画面を攻撃者に高効率・低遅延でライブストリーミングします。
通信インフラ
FvncBotは、デュアルチャネル通信構造を利用しています。標準的なデータ外部送信は、暗号化されていないHTTP POSTリクエストを介してJSONオブジェクトを含む形で行われます。しかし、リアルタイム制御にはFirebase Cloud Messaging(FCM)を使用してコマンドを受信します。
FCMから受信するコマンドの一つは、マルウェアに組み込まれたFast Reverse Proxy(FPR)ツールを使用してWebSocket接続を開始します。この双方向接続は、ボットのリモート制御機能にとって極めて重要であり、攻撃者がジェスチャー(スワイプ、クリック)を実行し、デバイスをライブで操作することを可能にします。
標的と今後の展望
現在のところ、このキャンペーンはcall_plというビルド識別子からポーランドのユーザーを標的にしていることが示されています。しかし、C2サーバーから動的に取得されるWebインジェクトのモジュラーな性質により、オペレーターは他の地域や金融機関に簡単に標的を変更できます。
FvncBotの出現は、脅威アクターがマルウェアをセキュリティツールとして偽装し、アクセシビリティAPIを活用してOSレベルの保護を回避するという、持続的な傾向を浮き彫りにしています。セキュリティ専門家は、この新しいファミリーに関連する指標、特にパッケージ名com.fvnc.appおよびnaleymilva.it.comへのトラフィックを監視する必要があります。