New Android malware found Researchers have revealed details of two Android malware strains called SeedSnatcher and FvncBot. Upgraded version of ClayRat was also found in the wild.  About the malware  FvncBot works as a security app built by mBank and attacks mobile banking users in Poland. The malware is written from scratch and is different from other banking trojans such as ERMAC whose source codes have been leaked. According to Intel 471, the malware "implemented multiple features including keylogging by abusing Android's accessibility services, web-inject attacks, screen streaming and hidden virtual network computing (HVNC) to perform successful financial fraud." Like the Albiriox banking malware, this trojan is shielded by a service called apk0day that Golden Crypt offers. Attack tactic  After the dropper app is launched, users are asked to download a Google Play component for security of the app. But in reality, it deploys the malware via session-based approach which other actors adopt to escape accessibility restrictions on Android devices version 13 and above. According to Intel 471, "During the malware runtime, the log events were sent to the remote server at the naleymilva.it.com domain to track the current status of the bot." After this, the malware asks victims for accessibility services permission, it then gets privileges and connects to an external server.  Malware capabilities  FvncBot also triggers a text mode to analyze the device screen layout and content even in cases where an app doesn't allow screenshots by setting the FLAG_SECURE option.  Experts don't yet know how FvncBot is getting widespread, but Android banking trojans leverage third-party app stores and SMS phishing as a distribution vector.  According to Intel 471, "Android's accessibility service is intended to aid users with disabilities, but it also can give attackers the ability to know when certain apps are launched and overwrite the screen's display."  The firm added that the sample was built to "target Polish-speaking users, it is plausible we will observe this theme shifting to target other regions or to impersonate other Polish institutions." Beyond the immediate threat to banking and cryptocurrency users, the emergence of FvncBot, SeedSnatcher, and the upgraded ClayRat underscores a troubling evolution in mobile-malware design: an increasing shift toward “full-device takeover” rather than mere credential theft. By exploiting legitimate features, such as Android’s accessibility services, screen-streaming APIs, and overlay permissions, these trojans can invisibly hijack almost every function of a smartphone: logging keystrokes, intercepting SMS-delivered 2FA codes, capturing screen contents even when apps try to block screenshots, and executing arbitrary commands as though the real user were interacting with the device.  This marks a new class of threat in which a compromised phone becomes a proxy tool for remote attackers: they don’t just steal data, they can impersonate the user, conduct fraudulent transactions, or monitor every digital activity. Hence, users worldwide, not only in Poland or crypto-heavy regions, must remain vigilant: the architecture these threats use is platform-wide, not region-specific, and could easily be repurposed for broader global campaigns.

Cybersecurity researchers have disclosed details of two new Android malware families dubbed FvncBot and SeedSnatcher, as another upgraded version of ClayRat has been spotted in the wild. The findings come from Intel 471, CYFIRMA, and Zimperium, respectively. FvncBot, which masquerades as a security app developed by mBank, targets mobile banking users in Poland. What's notable about the malware

Researchers detail FvncBot, SeedSnatcher, and a stronger ClayRat that widen Android data theft and device control tactics.

FvncBot, SeedSnatcher, and ClayRat Android malware variants have added stronger data theft functions, increasing risks for mobile users.

Android malware FvncBot, SeedSnatcher, and ClayRat have reportedly gained stronger data theft features, indicating an evolution in their capabilities. This development highlights ongoing threats to Android users.

サイバーセキュリティ研究者は、新たな2つのAndroidマルウェアファミリーFvncBotとSeedSnatcherの詳細を公開した。さらに、別の改良版のClayRatが野外で確認されている。 これらの調査結果は、それぞれIntel 471、CYFIRMA、およびZimperiumからもたらされた。 mBankが開発したセキュリティアプリを装うFvncBotは、ポーランドのモバイルバンキング利用者を標的としている。このマルウェアの注目すべき点は、完全にゼロから作成されており、ソースコードが流出したERMACのような他のAndroidバンキングトロイの木馬から着想を得ていないことだ。 このマルウェアは「Androidのユーザー補助サービスを悪用したキーロギング、Webインジェクト攻撃、画面ストリーミング、そして隠れた仮想ネットワークコンピューティング（HVNC）など、複数の機能を実装しており、金融詐欺を成功させる」とIntel 471は述べている。 最近明らかになったAlbirioxバンキングマルウェアと同様に、このマルウェアはGolden Cryptが提供するapk0dayとして知られる暗号化サービスによって保護されている。この悪意あるアプリはローダーとして機能し、埋め込まれたFvncBotペイロードをインストールする。 ドロッパーアプリが起動されるとすぐに、ユーザーはアプリのセキュリティと安定性を確保するためにGoogle Playコンポーネントをインストールするよう促される。しかし実際には、セッションベースの手法を利用してマルウェアを展開する。この手法は、Android 13以降を実行するデバイスでユーザー補助の制限を回避するために、他の脅威アクターによって採用されている。 「マルウェアの実行中、ログイベントはボットの現在の状態を追跡するために naleymilva.it.com ドメイン上のリモートサーバーへ送信されていた」とIntel 471は述べている。「オペレーターは、ポーランドを標的国と示す build 識別子 call_pl を含めており、マルウェアのバージョンは 1.0-P に設定されていた。これは開発の初期段階であることを示唆している。 その後マルウェアは、被害者にユーザー補助サービスの権限を付与するよう求める。これにより、昇格した権限で動作し、HTTP経由で外部サーバーに接続して感染デバイスを登録し、Firebase Cloud Messaging（FCM）サービスを用いてコマンドを受信できるようになる。 FvncBot によるユーザー補助サービス有効化プロセス サポート機能の一部は以下のとおりだ。 デバイスを遠隔操作するためのWebSocket接続の開始／停止、およびスワイプ、クリック、スクロールによる画面操作 記録されたユーザー補助イベントをコントローラーへ流出させる インストール済みアプリケーション一覧の流出 デバイス情報およびボット設定情報の流出 標的アプリケーション上に悪意あるオーバーレイを表示するための設定を受信 機密データを取得・流出させるための全画面オーバーレイの表示 オーバーレイの非表示 ユーザー補助サービスの状態確認 ユーザー補助サービスを悪用したキーストロークの記録 コントローラーから保留中のコマンドを取得 AndroidのMediaProjection APIを悪用した画面コンテンツのストリーミング FvncBotは、いわゆるテキストモードも備えており、アプリがFLAG_SECURE オプションを設定してスクリーンショット取得を防いでいる場合でも、デバイス画面のレイアウトとコンテンツを確認できる。 現時点では、FvncBotがどのように配布されているかは不明だが、Androidバンキングトロイの木馬は、SMSフィッシングやサードパーティ製アプリストアを伝播経路として利用することが知られている。 「Androidのユーザー補助サービスは、本来は障害を持つユーザーを支援することを目的としているが、攻撃者に対して特定のアプリが起動されたタイミングを把握し、画面表示を上書きする能力も与えうる」とIntel 471は述べている。「今回のサンプルはポーランド語話者を標的とするよう設定されていたが、このテーマが他地域を標的とするように変化したり、他のポーランドの機関を装うようになる可能性も十分に考えられる。」 FvncBotの主な焦点がデータ窃取である一方で、SeedSnatcherはTelegram上でCoinという名称で配布されており、暗号通貨ウォレットのシードフレーズ窃取を目的としている。また、アカウント乗っ取りのために2要素認証（2FA）コードを盗むべく、受信SMSメッセージを傍受する機能を備えるほか、フィッシングオーバーレイを表示することでデバイスデータ、連絡先、通話履歴、ファイル、機密データを取得することも可能だ。 Telegramで共有されている中国語の手順書や、情報窃取ツールのコントロールパネルに中国語が存在することから、SeedSnatcherのオペレーターは中国拠点、もしくは中国語話者であると評価されている。 「このマルウェアは、動的クラスローディング、ステルス性の高いWebViewコンテンツインジェクション、整数ベースのコマンド＆コントロール命令など、検知回避のための高度な手法を活用している」とCYFIRMAは述べている。「当初はSMSアクセスなど最小限の実行時権限のみを要求するが、その後、ファイルマネージャー、オーバーレイ、連絡先、通話履歴などへのアクセス権限へと特権をエスカレートさせる。」 こうした動きと並行して、Zimperium zLabsは、デフォルトのSMS権限を悪用するとともにユーザー補助サービスを乱用するように更新された改良版ClayRatを発見したと述べている。これにより、キーストロークや画面の記録、悪意ある活動を隠すためのシステムアップデート画面のような各種オーバーレイの提供、被害者の応答を盗むための偽のインタラクティブ通知の作成など、より強力な脅威となっている。 ClayRat のデフォルトSMSおよびユーザー補助権限 ClayRatの機能拡張は要するに、ユーザー補助サービスの乱用、自動的なデバイスPIN／パスワード／パターンの解除、画面録画、通知の収集、永続的なオーバーレイなどを通じて、デバイスを完全に乗っ取ることを可能にしている。 ClayRatは、YouTubeのような正規サービスを装い、バックグラウンド再生や4K HDR対応のPro版を宣伝する25の不正なフィッシングドメインを通じて拡散されている。また、このマルウェアを配布するドロッパーアプリは、ロシアのタクシーや駐車アプリを模倣していることも確認されている。 「これらの機能が組み合わさることで、ClayRatは以前のバージョンと比べて、被害者が感染に気づいてアプリをアンインストールしたりデバイスの電源を切ったりできた頃よりも、はるかに危険なスパイウェアとなっている」と研究者のVishnu Pratapagiri氏とFernando Ortega氏は述べている。 翻訳元:

A new Android malware, “SeedSnatcher,” has emerged as a major threat to cryptocurrency users, raising alarms across the digital finance world. Unlike ordinary malware, SeedSnatcher is specifically engineered to steal crypto wallet credentials, personal data, and even execute remote commands on infected devices. Disguised as a harmless app named “Coin” (package com.pureabuladon.auxes), it has been actively spreading through social platforms like Telegram, targeting both novice and experienced crypto users.