FvncBot、ポーランドのモバイルバンキングを標的に

2025年11月25日、Intel 471の研究者らは、ポーランドのモバイルバンキングユーザーを狙う新種のAndroidバンキング型トロイの木馬「FvncBot」を発見しました。このマルウェアは、ポーランドの主要銀行の一つであるmBankのセキュリティアプリケーションを装い、ユーザーデバイスへの侵入を試みます。

高度な機能と二段階感染プロセス

FvncBotは、これまでのErmacやHookといったバンキング型トロイの木馬の流出コードに依存しない、全く新しいAndroidマルウェアであることが特徴です。その名称はアプリケーションパッケージ識別子「com.fvnc.app」に由来し、高度な技術的洗練度を示しています。

このマルウェアは、以下の二段階感染プロセスで動作します。

• 第一段階：ローダーアプリケーション

  ユーザーに「Playコンポーネント」と称する正当に見えるアプリケーションのインストールを促します。これはセキュリティと安定性のためのものと偽装されます。

• 第二段階：FvncBotペイロードの展開

  ローダーが起動されると、アプリケーションのアセット内に暗号化されずに保存されていたFvncBotのペイロードを展開します。これらのコンポーネントは、GoldenCryptとして知られるアクターによって運営されるapk0day暗号化サービスを使用して難読化されていました。

包括的なキーロギングとウェブインジェクション攻撃

FvncBotは、Androidのアクセシビリティサービスを悪用し、包括的なキーロギング機能を実現します。これにより、マルウェアはユーザーの操作を密かに監視し、パスワードやワンタイムパスワードコードを含む機密情報をテキストフィールドからキャプチャします。キャプチャされたデータは最大1,000項目までバッファに蓄積され、その後HTTPリクエストを介して攻撃者に送信されます。

さらに、FvncBotはウェブインジェクション攻撃を実行します。標的となるバンキングアプリケーションが起動されると、フィッシングページを表示するオーバーレイウィンドウを作成します。これらの不正なページはWebViewコンポーネント内で読み込まれ、カスタムJavaScriptインターフェースを使用して、ユーザーが情報を送信する際に認証情報を収集します。標的となるアプリケーションとフィッシングURLのリストは、コマンド&コントロール（C2）サーバーから受信され、感染デバイスにローカルに保存されます。

リモート制御と高度な隠蔽技術

FvncBotは、WebSocket接続を介して攻撃者が感染デバイスをリモートで制御することを可能にします。攻撃者はスワイプ、クリック、スクロールなどの様々なジェスチャーを実行してデバイスの画面を操作できます。アプリケーションの起動、任意のデータの入力、クリップボードの操作も可能です。不正行為を隠蔽するために、マルウェアはデバイスをロックし、音声をミュートし、黒いオーバーレイを表示することができます。

このマルウェアは、MediaProjection APIとH.264ビデオエンコーディングを使用して画面ストリーミングを実装しており、従来のJPEGベースのストリーミング方法と比較して帯域幅を効率的に利用します。また、FvncBotは「テキストモード」、つまりHidden Virtual Network Computing（HVNC）機能を備えており、アクセシビリティサービスを通じてUI要素を分析することでデバイスの画面を再構築し、スクリーンショット防止対策を回避します。

元記事: https://gbhackers.com/fvncbot-android-malware-steals-keystrokes/