Malware FvncBot para Android rouba pressionamentos de tecla e injeta cargas prejudiciais

Malware FvncBot para Android rouba pressionamentos de tecla e injeta cargas prejudiciais

Um recém-descoberto Trojan bancário AndroidFvncBot, emergiu como uma ameaça sofisticada visando usuários de serviços bancários móveis na Polônia.

Os investigadores da Intel 471 identificaram este malware pela primeira vez em 25 de novembro de 2025, disfarçado como uma aplicação de segurança do mBank, uma das instituições bancárias mais proeminentes da Polónia.​

Novo malware com recursos avançados

O FvncBot representa uma variedade inteiramente nova de malware para Android, diferenciando-se das ameaças anteriores por não depender do código-fonte vazado de outros trojans bancários como Ermac ou Hook.

O malware recebeu o nome de seu identificador de pacote de aplicativos “com.fvnc.app” e demonstra considerável sofisticação técnica em seu design e execução.​

De acordo com Intel471o malware opera por meio de um processo de infecção em dois estágios. Um aplicativo carregador solicita que os usuários instalem o que parece ser um “componente Play” legítimo para fins de segurança e estabilidade.

Uma vez ativado, o carregador implanta a carga útil do FvncBot, que foi armazenada sem criptografia nos ativos do aplicativo.

Ambos os componentes foram ofuscados usando o serviço de criptografia apk0day, operado por um ator conhecido como GoldenCrypt.​

O FvncBot explora os serviços de acessibilidade do Android, originalmente projetados para ajudar usuários com deficiência, para implementar recursos abrangentes de keylogging.

O malware monitora silenciosamente as interações do usuário, capturando informações confidenciais de campos de texto, incluindo senhas e códigos de senha de uso único.

Os dados capturados se acumulam em um buffer que contém até 1.000 itens antes de serem transmitidos aos invasores por meio de solicitações HTTP.​

Ataques de injeção na Web

O malware realiza ataques de injeção na Web, criando janelas sobrepostas que exibem páginas de phishing quando as vítimas iniciam ataques direcionados. aplicações bancárias.

Essas páginas fraudulentas são carregadas em componentes WebView e usam interfaces JavaScript personalizadas para coletar credenciais quando os usuários enviam suas informações.

A lista de aplicativos direcionados e phishing Os URLs são recebidos do servidor de comando e controle e armazenados localmente nos dispositivos infectados.​

O FvncBot permite que invasores controlem remotamente dispositivos infectados por meio de conexões WebSocket. Os operadores podem realizar vários gestos, incluindo deslizar, clicar e rolar, para navegar pelas telas dos dispositivos.

Eles podem iniciar aplicativos, inserir dados arbitrários em campos de texto e até mesmo manipular a área de transferência.

Para ocultar atividades fraudulentas, o malware pode bloquear dispositivos, silenciar o áudio e exibir sobreposições pretas.​

O malware implementa streaming de tela usando a API MediaProjection com codificação de vídeo H.264, resultando em um uso de largura de banda mais eficiente em comparação aos métodos tradicionais de streaming baseados em JPEG.

Além disso, o FvncBot apresenta um “modo de texto” ou funcionalidade de computação de rede virtual oculta que reconstrói telas de dispositivos analisando elementos da interface do usuário por meio de serviços de acessibilidade, ignorando medidas de prevenção de captura de tela.​

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.