文章总结： FvncBot是一种2025年末发现的新型安卓银行木马，伪装成波兰mBank安全应用，通过诱导用户安装Play组件部署载荷。该恶意软件滥用Android辅助功能服务实现键盘记录、Web注入、HVNC远程控制和屏幕流传输等功能，采用HTTP和Firebase云消息传递双通道通信，利用APK0day加密服务混淆代码，目前主要针对波兰用户，但模块化设计使其可快速转向其他目标。 综合评分： 78 文章分类： 恶意软件,移动安全,威胁情报,漏洞分析,安全预警

FvncBot 攻击安卓用户，利用辅助功能服务进行攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月7日 14:10 北京

一种此前未被记录的安卓银行木马程序，名为“FvncBot”。该程序于2025年末首次被发现，其复杂的恶意软件伪装成波兰大型金融机构mBank的安全应用程序。

与近期许多利用泄露源代码（如 Ermac 或 Hook）进行代码回收的威胁不同，FvncBot 似乎是一个全新的作品，这表明威胁行为者仍在继续投资原创开发，以绕过现代防御措施。

攻击始于伪装成“Klucz bezpieczeństwa Mbank”（mBank 安全密钥）的恶意加载器。

用户安装初始应用后，应用会提示他们下载“Play”组件以提高稳定性。此操作会部署实际的FvncBot 有效载荷，该有效载荷以未加密的形式存储在应用的资源中。

启动加载程序后，用户会看到一条信息，提示安装“Play”组件，以确保应用程序的安全性和稳定性。点击绿色按钮“ZAINSTALUJ KOMPONENT”（安装组件）后，安装过程便开始。

加载器和有效载荷都使用 APK0day 加密服务进行混淆，这表明恶意软件开发者与 GoldenCrypt 攻击者之间可能存在联系。

FvncBot 的目标是安卓用户

2025 年 11 月 25 日，Intel 471 研究人员发现一个恶意应用程序充当了未知来源的 Android 银行木马的加载器。

研究人员对动态加载的 Dalvik 可执行文件 (DEX) 进行了适当的修改，以便转储日志消息并使用 logcat 工具显示它们。

安装后，FvncBot 会大量滥用 Android 的辅助功能服务。它会胁迫受害者授予这些高级权限，从而有效地将设备控制权拱手让人。其主要功能包括：

• 键盘记录： 该恶意软件通过嗅探文本字段来捕获敏感输入，例如密码和一次性密码。数据会被缓存并分批窃取。
• Web注入： 通过监控特定的目标应用程序，该机器人可以启动模仿合法银行界面的覆盖窗口来窃取凭证。
• HVNC（隐藏虚拟网络计算）： 即使在启用了 FLAG_SECURE 标志并阻止屏幕截图的应用程序中，“文本模式”功能也允许攻击者检查用户界面树。这使得他们能够在不触发安全警报的情况下远程重建屏幕。
• 屏幕流传输： 该恶意软件通过 MediaProjection API 实现 H.264 视频编码，从而能够高效、低延迟地将受害者的设备实时流传输给攻击者。

通信基础设施

FvncBot采用双通道通信结构。标准数据外泄是通过包含JSON对象的未加密HTTP POST请求实现的。

然而，为了实现实时控制，该恶意软件使用 Firebase 云消息传递 (FCM) 来接收命令。其中一条命令会使用嵌入在恶意软件中的快速反向代理 (FPR) 工具发起 WebSocket 连接。

这种双向连接对于机器人的远程控制功能至关重要，它允许攻击者执行手势（滑动、点击）并实时操控设备。

目前，该攻击活动的目标用户是波兰用户，这可以从 call_pl 版本标识符中看出。然而，由于这些网页注入程序是从C2 服务器动态获取的模块化设计，因此攻击者可以轻松地将目标转向其他地区或机构。

FvncBot 的出现凸显了一个持续的趋势：攻击者成功地将恶意软件伪装成安全工具，并利用辅助功能 API 来绕过操作系统级别的保护。

安全专业人员应监控与此新家族相关的指标，特别是有关特定软件包名称 com.fvnc.app 和到 naleymilva.it.com 的流量。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《FvncBot 攻击安卓用户，利用辅助功能服务进行攻击》