Hack Alerta

FvncBot: novo trojan Android para bancos com keylogger e HVNC

Por Redação Hack Alerta Publicado em 06/12/2025 13:01 Riscos e Ameaças Tempo de leitura: 5 min

FvncBot é um trojan bancário Android recém‑identificado que se instala via app falso ("Klucz bezpieczeństwa mBank") e combina keylogging por Accessibility, overlays de phishing, screen streaming H.264 e HVNC. Amostra usa serviço de ofuscação apk0day; alcance e número de vítimas não foram divulgados.

FvncBot: novo trojan Android para bancos com keylogger e HVNC

Introdução

Pesquisadores identificaram um novo trojan bancário para Android chamado FvncBot, observado pela primeira vez em 25 de novembro de 2025. A amostra analisa técnicas avançadas de roubo de credenciais, controle remoto e evasão, e foi divulgada em report do Cyber Security News que cita investigação da Intel471.

Descoberta e escopo / O que mudou agora

De acordo com a publicação, FvncBot se distribui inicialmente por meio de um aplicativo falso — "Klucz bezpieczeństwa mBank" (Security Key mBank) — que funciona como um loader e baixa o payload principal. Os analistas ressaltam que o código do malware aparenta ser novo, não derivado de famílias conhecidas como Ermac ou Hook.

Vetor e exploração / Mitigações

O vetor principal é a instalação voluntária do app falso, normalmente oferecido fora de lojas oficiais. O relatório destaca medidas de mitigação imediatas que usuários e equipes de segurança podem adotar:

  • Evitar instalação de apps vindos de terceiros ou links diretos; preferir lojas oficiais (Google Play).
  • Rever permissões de Acessibilidade em dispositivos Android e remover aplicações que peçam esse direito sem justificativa técnica clara.
  • Monitorar tráfego WebSocket e conexões suspeitas envolvendo Firebase Cloud Messaging (FCM) a partir de dispositivos móveis corporativos.
  • Bloquear ou sinalizar aplicações ofuscadas por serviços conhecidos (o relatório menciona o uso do serviço apk0day).

Recursos técnicos observados

Conforme a descrição técnica disponível, o FvncBot incorpora múltiplas funcionalidades que aumentam seu potencial de fraude:

  • Keylogging via Accessibility Services: captura de teclas, incluindo senhas, PINs e OTPs; os registros são acumulados (até 1.000 eventos) antes de serem exfiltrados por HTTP ou WebSocket.
  • Web-inject / Overlays: exibição de janelas sobrepostas a apps bancários legítimos, com páginas de phishing recebidas do servidor de comando.
  • Screen streaming: transmissão em tempo real da tela usando H.264, para monitoramento contínuo.
  • HVNC (Hidden VNC): controle remoto oculto por representação JSON da interface, permitindo navegação, cliques e inserção de dados no dispositivo vítima.
  • Comando remoto: comunicação bidirecional próxima do tempo real via WebSocket e FCM para receber instruções.
  • Manipulação do dispositivo: bloqueio da tela, silenciamento de áudio, sobreposições negras e lançamento de apps para ocultar ações maliciosas enquanto o dispositivo aparenta estar bloqueado.
  • Ofuscação: uso do serviço apk0day (associado ao ator GoldenCrypt) para dificultar detecção e análise forense.

Impacto e alcance / Setores afetados

O alvo indicado na campanha inicial é o público do banco polonês mBank, via aplicativo falso que se apresenta como ferramenta de segurança. O relatório não apresenta números de vítimas, taxas de infecção nem sinalização geográfica ampla além do caso exemplar; portanto, o alcance real da campanha ainda não está quantificado publicamente.

Limites das informações / O que falta saber

O material disponível não traz métricas de comprometimento (número de dispositivos afetados), nem detalha se houve campanhas direcionadas a outros países ou instituições além do caso ligado ao mBank. Tampouco há indicação de infraestrutura C2 completa, hashes de amostra rastreáveis publicamente ou indicadores de comprometimento (IoCs) extensos na matéria consultada. Essas lacunas impedem avaliação precisa de disseminação e impacto operacional.

Repercussão / Próximos passos / Recomendações

A divulgação da Intel471, citada pela publicação, serve como alerta para instituições financeiras, equipes de resposta e usuários finais. Recomenda-se que bancos verifiquem canais de suporte ao cliente para informar sobre instalações falsas e reforcem orientações de segurança: não instalar apps fora de lojas oficiais, desconfiar de mensagens que prometam atualizações de segurança e exigir múltiplos fatores de autenticação que não dependam apenas de códigos inseridos em dispositivos móveis comprometidos.

Equipes de segurança móvel (MDM/UEM) devem auditar permissões de Acessibilidade, monitorar padrões de tráfego associados a FCM/WebSocket e aplicar bloqueios a bins/assinaturas conhecidas de aplicativos ofuscados. Analistas de malware e CERTs precisarão de amostras e IoCs adicionais para criar assinaturas e regras de detecção mais eficazes.

Conclusão

FvncBot representa uma combinação de técnicas conhecidas (overlays, Accessibility abuse, controle remoto) com capacidades avançadas de streaming e HVNC, além de ofuscação por serviços comerciais de crypting. Até que mais dados de telemetria sejam publicados, o esforço de mitigação se apoia em higiene de software (não instalar apps de terceiros), revisão de permissões sensíveis em Android e monitoramento de comunicações de dispositivos móveis.

Fonte do relato original: Cyber Security News, com referência à investigação da Intel471.
Baseado em publicação original de Cyber Security News
Tags: #android #malware #banking #keylogger #hvnc #apk0day #overlays #intel471 #mbank
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar