MinhSec
Writer
FvncBot lần đầu được phát hiện vào ngày 25 tháng 11 năm 2025 và nhanh chóng trở thành một trong những công cụ đánh cắp thông tin tài chính nguy hiểm nhất. Phần mềm độc hại này được thiết kế để ghi lại thao tác phím, chụp màn hình theo thời gian thực và chèn các trang đăng nhập giả mạo vào ứng dụng ngân hàng để lừa người dùng cung cấp dữ liệu nhạy cảm.
Ban đầu, FvncBot phát tán thông qua một ứng dụng giả mạo được ngụy trang thành công cụ bảo mật của mBank, ngân hàng nổi tiếng tại Ba Lan. Ứng dụng mang tên “Klucz bezpieczeństwa mBank” (Khóa bảo mật mBank) hoạt động như một trình tải. Khi nạn nhân cài đặt và mở ứng dụng, nó âm thầm tải xuống và kích hoạt FvncBot. Toàn bộ quá trình còn được che giấu bằng dịch vụ mã hóa apk0day để vượt qua lớp bảo vệ của hệ thống.
Một số khả năng nguy hiểm của FvncBot:
Người dùng cũng cần cảnh giác khi thấy các cửa sổ yêu cầu đăng nhập bất thường, màn hình bị phủ đen, điện thoại tự động điều khiển hoặc xuất hiện thông báo hệ thống bất thường.
Các chuyên gia khuyến cáo tránh cài ứng dụng từ trang web bên thứ ba và tuyệt đối không đăng nhập tài khoản ngân hàng qua ứng dụng bị nghi ngờ.(cybersecuritynews)
cybersecuritynews.com
Ban đầu, FvncBot phát tán thông qua một ứng dụng giả mạo được ngụy trang thành công cụ bảo mật của mBank, ngân hàng nổi tiếng tại Ba Lan. Ứng dụng mang tên “Klucz bezpieczeństwa mBank” (Khóa bảo mật mBank) hoạt động như một trình tải. Khi nạn nhân cài đặt và mở ứng dụng, nó âm thầm tải xuống và kích hoạt FvncBot. Toàn bộ quá trình còn được che giấu bằng dịch vụ mã hóa apk0day để vượt qua lớp bảo vệ của hệ thống.
FvncBot hoạt động như thế nào
Điểm khiến FvncBot trở nên đáng lo ngại là bộ tính năng hoàn toàn mới, không tái sử dụng mã nguồn từ các phần mềm độc hại ngân hàng cũ như Ermac hay Hook. Các nhà nghiên cứu cho biết đây là một biến thể hoàn toàn độc lập, được xây dựng với mục tiêu chiếm quyền điều khiển thiết bị và rút tiền ngay cả khi điện thoại trông như đang tắt hoặc bị khóa.
Một số khả năng nguy hiểm của FvncBot:
- Ghi lại thao tác phím: Lợi dụng Dịch vụ Trợ năng của Android để ghi lại mật khẩu, mã PIN và cả mã OTP. Nó có thể thu thập tới 1.000 sự kiện trước khi gửi về máy chủ điều khiển.
- Tấn công web-inject: Hiển thị lớp phủ giả mạo trên ứng dụng ngân hàng thật, buộc người dùng nhập lại thông tin đăng nhập vào trang lừa đảo.
- Phát trực tuyến màn hình: Truyền hình ảnh màn hình thiết bị theo thời gian thực bằng công nghệ H.264, giúp kẻ tấn công quan sát mọi thao tác của nạn nhân.
- Điều khiển thiết bị từ xa (HVNC): Tạo giao diện người dùng ảo để kẻ tấn công vuốt, nhấp và nhập dữ liệu từ xa như đang cầm trên tay điện thoại của nạn nhân.
- Thực thi lệnh trong thời gian thực: Sử dụng WebSocket và Firebase Cloud Messaging để nhận lệnh gần như ngay lập tức từ máy chủ điều khiển.
- Thao túng thiết bị: Có thể khóa màn hình, tắt tiếng, bật lớp phủ đen, mở ứng dụng, nhập dữ liệu hoặc thao tác trên bất kỳ trường văn bản nào.
Cách bảo vệ trước FvncBot
Phát hiện của Intel471 nhấn mạnh rằng người dùng chỉ nên tải ứng dụng từ nguồn chính thức, đặc biệt là Google Play Store. Những ứng dụng “bảo mật ngân hàng”, “cập nhật an toàn” hoặc file APK được gửi qua tin nhắn riêng đều có thể là bẫy.Người dùng cũng cần cảnh giác khi thấy các cửa sổ yêu cầu đăng nhập bất thường, màn hình bị phủ đen, điện thoại tự động điều khiển hoặc xuất hiện thông báo hệ thống bất thường.
Các chuyên gia khuyến cáo tránh cài ứng dụng từ trang web bên thứ ba và tuyệt đối không đăng nhập tài khoản ngân hàng qua ứng dụng bị nghi ngờ.(cybersecuritynews)
New FvncBot Android Banking Attacking Users to Log Keystrokes and Inject Malicious Payloads
Cybersecurity researchers at Intel 471 have discovered a dangerous new Android banking malware named FvncBot.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
