Pesquisadores da Intel 471 identificaram, em novembro de 2025, um aplicativo falso de banco que atua como carregador de um trojan bancário altamente sofisticado para Android. Disfarçado como um app de segurança do mBank, um dos maiores bancos da Polônia, o malware — batizado de FvncBot — é capaz de executar fraudes financeiras enquanto a vítima continua usando o celular sem perceber qualquer anormalidade.
O FvncBot recebe esse nome a partir do pacote malicioso “com.fvnc.app” e utiliza um carregador inicial que instala o payload principal diretamente nos arquivos internos do aplicativo. Tanto o carregador quanto o código malicioso foram ofuscados com o serviço apk0day, associado ao ator conhecido como GoldenCrypt, o que dificulta a análise e detecção por antivírus tradicionais.
A distribuição ocorre por meio de um falso aplicativo chamado “Klucz bezpieczeństwa Mbank”, apresentado como uma ferramenta de segurança. Após a instalação, o usuário é induzido a ativar um suposto componente adicional, permitindo que o malware seja executado com privilégios elevados. A partir desse ponto, o código contorna as restrições de segurança do Android 13, utilizando um instalador de pacotes baseado em sessão para abusar dos serviços de acessibilidade do sistema.
Com essas permissões, o malware passa a ter acesso praticamente total ao dispositivo, registrando tudo o que ocorre na tela, capturando teclas digitadas, interceptando códigos de autenticação e controlando o aparelho remotamente. Os dados são enviados de forma contínua a servidores de comando e controle, permitindo que os criminosos acompanhem o status de cada dispositivo infectado.
A comunicação do FvncBot combina requisições HTTP não criptografadas, mensagens via Firebase Cloud Messaging (FCM) e conexões WebSocket em tempo real. Essa arquitetura híbrida garante escalabilidade, controle remoto discreto e capacidade de executar ataques que exigem sincronização precisa, como fraudes bancárias durante sessões ativas do usuário.
O malware também utiliza streaming de vídeo em H.264, tecnologia normalmente associada a plataformas profissionais, para transmitir a atividade da tela com baixa latência e consumo reduzido de dados. Quando aplicativos bancários bloqueiam capturas de tela, o FvncBot reconstrói a interface remotamente a partir da hierarquia dos elementos visuais obtidos via acessibilidade.
Durante ataques ativos, o código pode exibir uma tela preta e bloquear o aparelho, ocultando completamente as transações realizadas em segundo plano. Todo o processo acontece sem alertas visíveis, reforçando o caráter furtivo da ameaça.
Segundo os analistas, o aspecto mais preocupante é que o código do FvncBot é totalmente original, não derivado de trojans conhecidos. A versão identificada, 1.0-P, indica estágio inicial de desenvolvimento, o que sugere que futuras variantes podem ampliar o alcance para outros países e bancos, além de incorporar técnicas ainda mais avançadas de evasão e controle.
CLIQUE AQUI para ver a matéria de inspiração!
Deixe seu comentário
