Pesquisadores da Intel 471 identificaram uma nova família de trojans bancários para Android, chamada FvncBot, que se disfarça como aplicativo de segurança para enganar usuários e obter controle por meio dos serviços de acessibilidade.
Descoberta e escopo
Segundo relatório publicado pela fonte original, a campanha foi observada em 25 de novembro de 2025 e tem como alvo principal clientes de bancos na Polônia. Os operadores criaram um aplicativo falso que se apresenta como uma ferramenta de segurança do mBank e o distribuem fora das lojas oficiais, induzindo vítimas a instalarem componentes adicionais.
Vetor e exploração
O instalador do falso aplicativo solicita que o usuário adicione um componente chamado “Play”, alegando tratar‑se de um requisito para a estabilidade do sistema. Essa etapa de engenharia social tem o objetivo explícito de contornar restrições de segurança do Android e permitir a implantação do payload malicioso.
Evidências técnicas
De acordo com a análise divulgada, FvncBot:
- Solicita e usa abusivamente os serviços de acessibilidade para ler o conteúdo da tela e monitorar toques;
- registra entradas (keystrokes) e captura imagens da tela de aplicativos abertos, inclusive portais bancários;
- implementa um canal de controle em tempo real via WebSockets para receber comandos dos operadores;
- incorpora funcionalidade de VNC (virtual network computing) oculta, permitindo que os atacantes controlem o dispositivo remotamente.
Origem do código e autoria
Os pesquisadores da Intel 471 observaram que o código do FvncBot parece ser original e não derivado de amostras vazadas de trojans bancários conhecidos, o que sugere a atuação de um novo grupo de desenvolvedores. A fonte afirma que a implementação difere de famílias anteriores, mas não fornece nomes de autores ou infraestrutura completa na matéria consultada.
Limites das evidências
Os dados disponíveis na reportagem não quantificam o número de dispositivos comprometidos nem descrevem indicadores de comprometimento (IoCs) detalhados, portanto não é possível estimar alcance ou identificar vetores de distribuição além da menção ao aplicativo falso e ao componente “Play”. Também não há confirmação pública de operações de extorsão financeira diretamente atribuíveis a essa cepa — a descrição limita‑se a capacidades técnicas observadas.
Impacto e recomendações
As capacidades descritas (acesso por serviços de acessibilidade, captura de tela, gravação de teclas e controle remoto via VNC) permitem fraudes bancárias sofisticadas quando implantadas com sucesso. Como medida imediata, a fonte recomenda evitar a instalação de aplicativos bancários por meio de sites não oficiais ou resultados orgânicos de busca, privilegiando lojas oficiais e canais do próprio banco.
Outras precauções práticas indicadas implicitamente pelos vetores usados incluem:
- verificar a procedência de apps antes da instalação e recusar permissões de acessibilidade para apps que não precisem delas;
- manter solução de segurança móvel atualizada e revisar alertas oficiais do banco sobre aplicativos legítimos;
- quando houver suspeita de infecção, desconectar o dispositivo da rede e consultar suporte técnico ou bloqueio de conta junto à instituição financeira.
Repercussão
A reportagem original salienta o risco de ataques direcionados a clientes de serviços financeiros e a relativa sofisticação do FvncBot, mas não indica campanhas amplas confirmadas nem vínculos com grupos previamente documentados. Falta, nos dados disponíveis, informação sobre afetados em outros países ou ações de resposta por parte de bancos ou órgãos de segurança.
Fonte original: relatório da Intel 471, citado pela Cyber Security News.
O que falta: indicadores técnicos públicos (hashes, domínios/C2, amostras), contagem de vítimas e informações sobre canais de distribuição além do relato do aplicativo falso. Sem esses elementos, equipes de defesa devem priorizar vigilância em endpoints móveis e instruções de conscientização a clientes.