Android: nowe malware FvncBot i SeedSnatcher oraz zmodernizowany ClayRat — jak kradną dane i omijają zabezpieczenia

Wprowadzenie do problemu / definicja

Badacze opisali dwie nowe rodziny złośliwego systemu na Androida — FvncBot (trojan bankowy) i SeedSnatcher (stealer fraz seed do portfeli krypto) — oraz zaktualizowany wariant spyware ClayRat o znacznie rozszerzonych możliwościach. FvncBot podszywa się pod aplikację bezpieczeństwa mBanku i celuje w użytkowników w Polsce; SeedSnatcher kradnie frazy mnemoniczne i OTP/2FA; ClayRat dodaje nadużycia usług ułatwień dostępu, nagrywanie ekranu i fałszywe powiadomienia. Wszystkie trzy intensywnie nadużywają Android Accessibility Services, nakładek (overlays), MediaProjection i/lub roli domyślnej aplikacji SMS.

W skrócie

• FvncBot: świeży kod (nie klon ERMAC-a), loader przebrany za „aplikację bezpieczeństwa mBanku”, funkcje: HVNC, keylogging z Accessibility, web-injecty, streaming ekranu; cel: użytkownicy bankowości w PL. Zaobserwowany identyfikator buildu call_pl wskazuje na Polskę.
• SeedSnatcher: dystrybuowany jako „Coin” przez Telegram, kradnie frazy seed (BIP-39) do wielu popularnych portfeli (np. Trust Wallet, MetaMask), przechwytuje SMS/OTP, używa integer-based C2 (2000–2400) i dynamicznego ładowania klas/Dex.
• ClayRat (nowy wariant): dodaje Accessibility + MediaProjection, automatyczne odblokowywanie ekranu (PIN/hasło/wzór), fałszywe interaktywne notyfikacje, trwałe nakładki i utrudnianie wyłączenia/odinstalowania; dystrybuowany m.in. przez phishingowe domeny podszywające się pod YouTube i lokalne aplikacje.

Kontekst / historia / powiązania

Informacje pochodzą z niezależnych raportów zespołów Intel 471 (FvncBot, 4 grudnia 2025), CYFIRMA (SeedSnatcher, 3 grudnia 2025) i Zimperium zLabs (ClayRat, 4 grudnia 2025). Syntetyczne omówienie pojawiło się 8 grudnia 2025 w The Hacker News. Zbieżność osi czasu wskazuje na rozwój ekosystemu mobilnych grup przestępczych aktywnie adaptujących techniki omijania polityk uprawnień Androida 13+.

Analiza techniczna / szczegóły

FvncBot (banking trojan)

• Impersonacja mBanku: aplikacja-loader podszywa się pod „aplikację bezpieczeństwa mBanku”. Po uruchomieniu prosi o „komponent Google Play” i wykorzystuje podejście sesyjne do obejścia ograniczeń Accessibility na Androidzie 13+.
• Komunikacja i identyfikacja celu: logowanie zdarzeń do serwera C2, konfiguracja z identyfikatorem call_pl i wersją 1.0-P, co sugeruje wczesny etap i target Polska.
• Zdolności: HVNC (ukryte VNC), MediaProjection do streamingu ekranu, keylogging z Accessibility, overlays / web-injecty, zrzut listy aplikacji i informacji o urządzeniu, sterowanie gestami przez WebSocket. FCM służy do odbioru komend.

SeedSnatcher (crypto stealer)

• Dystrybucja: APK o nazwie „Coin”, promowany w kanałach Telegram; pakiet m.in. com.pureabuladon.auxes.
• Evasja i C2: dynamic class loading (fake_dex → real payload), WebView content injection, integer-based C2 (kody 2000–2400), WebSocket keep-alive do hosta C2.
• Kradzież portfeli: mapowanie template ID → konkretny portfel (np. Trust Wallet, MetaMask, OKX itd.), prezentacja fałszywych ekranów importu; walidacja słów wg BIP-39 by wymusić poprawną frazę; dodatkowo przechwyt SMS/OTP/2FA, exfiltracja kontaktów, plików, dzienników połączeń.

ClayRat (spyware — nowa wersja)

• Nowe możliwości: pełne nadużycie Accessibility Services (m.in. keylogger PIN/hasła/wzoru i auto-unlock), MediaProjection do streamingu ekranu, nakładki (czarna, „aktualizacja systemu”, PIN overlay), fałszywe interaktywne powiadomienia i zbieranie treści powiadomień. Po uzyskaniu roli domyślnej aplikacji SMS malware dodatkowo przejmuje korespondencję.
• Dystrybucja: setki unikalnych APK, >25 domen phishingowych (m.in. podszycia pod YouTube), obserwowane także pliki hostowane w Dropboxie.

Praktyczne konsekwencje / ryzyko

• Bankowość mobilna w Polsce: FvncBot jest wyspecjalizowany w polskim języku/ekosystemie — wzrasta ryzyko fraudów w bankowości i BLIK.
• Kryptoaktywa: SeedSnatcher celuje w frazy seed — pojedyncza pomyłka ofiary oznacza pełny takeover portfela.
• Uprawnienia krytyczne: rola Accessibility i Default SMS oraz MediaProjection tworzą wektor na pełne przejęcie urządzenia i potajemną egfiltrację.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i działów IT (MDM/MTD):

1. Zakaz sideloadingu i instalacji z linków SMS/IM; zezwalaj tylko na Google Play/zaufany MDM Store.
2. Blokuj nadawanie ról Accessibility/Default SMS aplikacjom spoza allowlisty (polityki MDM, Managed Configs).
3. Wykrywaj nadużycia MediaProjection/overlay (MTD/EDR mobilny) i monitoruj żądania uprawnień SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS, BIND_ACCESSIBILITY_SERVICE.
4. Hardening bankowo-krypto: U2F/FIDO2 zamiast SMS OTP; hardware keys dla kont giełdowych; w portfelach — seed offline, brak importu przez telefon.
5. Detekcja IOCs i zachowań: reguły dla komunikacji WebSocket do nietypowych domen, wzorce HVNC, wycieki eventów Accessibility.
6. Reagowanie: o ile wykryto podejrzane uprawnienia/overlays — tryb samolotowy, kopia dowodowa, następnie factory reset + re-enrollment MDM; rotacja haseł/kluczy i przemapowanie portfeli z nową frazą seed (stare uznać za skompromitowane).

Dla banków i fintechów:

• Attestation + anti-overlay w aplikacji, wykrywanie FLAG_SECURE bypass / screen-recordingu / Accessibility; dynamiczne risk-based auth i web-inject detection po stronie serwera. (Mechanizmy omijania FLAG_SECURE i MediaProjection wskazano w opisie FvncBota i ClayRat).

Różnice / porównania

• FvncBot vs. klasyczne trojany bankowe (np. ERMAC): FvncBot jest pisany od zera i integruje HVNC + streaming ekranu oraz FCM jako kanał komend — to zbliża go do pełnej zdalnej obsługi urządzenia, a nie tylko overlay-phishingu.
• SeedSnatcher vs. info-stealery: unikalne walidowanie BIP-39 i mapowanie UI portfeli zwiększają skuteczność kradzieży seedów.
• ClayRat vs. stalkerware: nowy wariant łączy Default SMS + Accessibility + MediaProjection i notyfikacje interaktywne, co utrudnia wykrycie i odinstalowanie — „żyje” jak pełnoprawny RAT na Androidzie.

Podsumowanie / najważniejsze wnioski

• Polska jest celem co najmniej jednej z nowych kampanii (FvncBot), więc organizacje w PL powinny pilnie podnieść polityki MDM/MTD i świadomość użytkowników.
• Techniki nadużycia uprawnień (Accessibility, MediaProjection, Default SMS, overlays) pozostają najskuteczniejsze na Androidzie — konieczne są zarówno kontrole użytkownika, jak i detekcja behawioralna.
• Krypto-użytkownicy: nigdy nie wpisuj frazy seed w mobilnym „importerze” uruchomionym z linku; traktuj każdy import na telefonie jako potencjalny kompromis.

Źródła / bibliografia

1. The Hacker News — „Android Malware FvncBot, SeedSnatcher, and ClayRat Gain Stronger Data Theft Features”, 8 grudnia 2025. (The Hacker News)
2. Intel 471 — „New FvncBot Android banking trojan targets Poland”, 4 grudnia 2025. (Intel 471)
3. CYFIRMA — „SEEDSNATCHER: Dissecting an Android Malware Targeting Multiple Crypto Wallet Mnemonic Phrases”, 3 grudnia 2025. (CYFIRMA)
4. Zimperium zLabs — „Return of ClayRat: Expanded Features and Techniques”, 4 grudnia 2025. (Zimperium)