Jak usunąć trojana FvncBot z urządzenia z systemem Android

Czym jest złośliwe oprogramowanie FvncBot?

FvncBot to trojan atakujący systemy operacyjne Android. Jest to wielofunkcyjny złośliwy program, który może wykonywać różne polecenia na zainfekowanych urządzeniach i przeprowadzać ataki typu overlay. Jesienią 2025 roku odkryto, że FvncBot był rozpowszechniany pod pozorem aplikacji powiązanej z mBankiem – czwartą co do wielkości grupą bankową w Polsce.

Przegląd złośliwego oprogramowania FvncBot

Łańcuch infekcji FvncBot jest inicjowany przez program ładujący. Pod pozorem „Klucza bezpieczeństwa Mbank” („Mbank security key”) program ładujący prosi o zainstalowanie „komponentu Play”, aby zapewnić bezpieczne i stabilne działanie aplikacji („Komponent Play zapewnia bezpieczna i stabilna funkcjonalnosé aplikacji”). Po instalacji użytkownicy są proszeni o naciśnięcie przycisku „AKTYWUJ” („Aktywuj”), co powoduje uruchomienie FvncBot.

Podobnie jak większość złośliwych programów przeznaczonych dla systemu Android, to złośliwe oprogramowanie wykorzystuje usługi ułatwień dostępu systemu Android, które mają na celu zapewnienie dodatkowej pomocy w obsłudze urządzenia użytkownikom, którzy jej potrzebują. Usługi te umożliwiają odczytywanie ekranu, wprowadzanie danych za pomocą klawiatury, symulowanie ekranu dotykowego i inne interakcje z urządzeniem — w związku z tym złośliwe oprogramowanie, które nadużywa tych usług, uzyskuje pełną funkcjonalność.

FvncBot wykorzystuje kilka technik przeciwdziałających wykryciu, w tym zaciemnianie kodu i możliwość ominięcia ograniczeń usług ułatwień dostępu w systemach operacyjnych Android 13 i nowszych. Po pomyślnym przeniknięciu FvncBot dostarcza szczegółowe instrukcje dotyczące włączania usług ułatwień dostępu w systemie Android.

Następnie trojan nawiązuje połączenie z serwerem C&C (Command and Control). Niektóre z poleceń, które może wykonać FvncBot, obejmują: uzyskanie listy zainstalowanych aplikacji, otwieranie aplikacji (w tym ekranu głównego, ustawień systemowych itp.), zmianę poziomu głośności, wyciszanie/wyłączanie wyciszenia urządzenia, otwieranie paska powiadomień, blokowanie/odblokowywanie urządzenia, wykonywanie gestów (np. kliknięcie, przesunięcie, przewijanie itp.), symulowanie klawiatury, wklejanie tekstu do pól wprowadzania danych i schowka, robienie zrzutów ekranu, rejestrowanie naciśnięć klawiszy (keylogging), wyświetlanie nakładek itp.

Kluczową funkcją tego złośliwego oprogramowania jest możliwość przeprowadzania ataków typu overlay. Gdy ofiara otwiera docelową aplikację, FvncBot nakłada na nią ekran phishingowy, który rejestruje wprowadzane dane (np. dane logowania, dane osobowe, numery kart kredytowych/debetowych itp.). Alternatywnie, złośliwe oprogramowanie może wyświetlać ciemny ekran, aby ukryć swoją działalność (np. fałszywe transakcje, zakupy itp.). Trojan ten może również przesyłać strumieniowo ekran ofiary niemal w czasie rzeczywistym.

Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i techniki. Dlatego potencjalne przyszłe warianty trojana FvncBot mogą mieć dodatkowe/inne funkcje i cechy.

Podsumowując, obecność złośliwego oprogramowania, takiego jak FvncBot, na urządzeniach może prowadzić do poważnych problemów związanych z prywatnością, strat finansowych i kradzieży tożsamości.

Podobne przykłady złośliwego oprogramowania

Pisaliśmy już o niezliczonych złośliwych programach; Sturnus, Klopatra i Datzbro to tylko niektóre z naszych najnowszych artykułów dotyczących trojanów podobnych do FvncBot.

Złośliwe oprogramowanie to szerokie pojęcie obejmujące oprogramowanie o różnych szkodliwych funkcjach. Programy te mogą być wielofunkcyjne lub mieć określone i ograniczone przeznaczenie. Jednak niezależnie od tego, jak działa złośliwe oprogramowanie, jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia należy natychmiast eliminować po ich wykryciu.

W jaki sposób FvncBot zainfiltrował moje urządzenie?

Zaobserwowano, że FvncBot rozprzestrzenia się pod pozorem aplikacji zabezpieczającej Mbank. Jednak sposób dystrybucji nie jest znany. Zazwyczaj złośliwe oprogramowanie rozprzestrzenia się poprzez phishing i socjotechnikę.

Najpopularniejsze techniki rozprzestrzeniania się złośliwego oprogramowania obejmują: podejrzane źródła pobierania (np. strony z darmowym oprogramowaniem i darmowymi serwisami hostingowymi, sieci wymiany plików P2P, sklepy z aplikacjami innych producentów itp.), pobieranie typu drive-by (ukryte/podstępne), złośliwe reklamy, złośliwe załączniki lub linki w spamie (np. wiadomości e-mail, prywatne wiadomości/wiadomości bezpośrednie, posty w mediach społecznościowych, SMS-y itp.), oszustwa internetowe, pirackie treści, nielegalne narzędzia do aktywacji oprogramowania („cracki”) oraz fałszywe aktualizacje.

Niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej (np. zewnętrzne dyski twarde, pamięci USB itp.).

Jak uniknąć instalacji złośliwego oprogramowania?

Ostrożność jest kluczem do zapewnienia bezpieczeństwa urządzenia i użytkownika. Dlatego zawsze sprawdzaj oprogramowanie, czytając warunki użytkowania i recenzje ekspertów/użytkowników, przeglądając wymagane uprawnienia i weryfikując uprawnienia deweloperów. Pobieraj oprogramowanie wyłącznie z oficjalnych i zweryfikowanych źródeł. Aktywuj i aktualizuj programy za pomocą legalnych funkcji/narzędzi, ponieważ te nabyte od stron trzecich mogą zawierać złośliwe oprogramowanie.

Podczas przeglądania stron internetowych należy zachować czujność, ponieważ w Internecie roi się od oszukańczych i złośliwych treści. Nie należy otwierać załączników ani linków znajdujących się w podejrzanych/nieistotnych wiadomościach (np. e-mailach, prywatnych wiadomościach, SMS-ach itp.).

Najważniejsze jest zainstalowanie renomowanego programu antywirusowego i regularne aktualizowanie go. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń.

Kroki wykonywane przez program ładujący w celu zainstalowania trojana FvncBot (źródło obrazu – Intel 471 Blog):

Kroki wykonywane przez trojana FvncBot w celu włączenia usług ułatwień dostępu (źródło obrazu – blog Intel 471):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij je i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o uprawnienia. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich danych w niej przechowywanych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYMAŻ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i naciśnij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłącz zasilanie”. Naciśnij i przytrzymaj ikonę „Wyłącz”. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system powiadomi Cię o wydaniu aktualizacji i/lub zainstaluje ją automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„Resetuj ustawienia” — przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Resetuj dane fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Moje urządzenie z systemem Android zostało zainfekowane złośliwym oprogramowaniem FvncBot. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Usunięcie złośliwego oprogramowania rzadko wymaga formatowania.

Jakie są największe problemy, jakie może spowodować złośliwe oprogramowanie FvncBot?

Zagrożenia związane z infekcją różnią się w zależności od możliwości złośliwego oprogramowania i celów atakujących. FvncBot to trojan, który może przesyłać strumieniowo ekrany ofiar, wyświetlać nakładki phishingowe, rejestrować naciśnięcia klawiszy i wykonywać inne złośliwe działania. Ogólnie rzecz biorąc, złośliwe oprogramowanie wysokiego ryzyka wiąże się z poważnymi problemami dotyczącymi prywatności, stratami finansowymi i kradzieżą tożsamości.

Jaki jest cel złośliwego oprogramowania FvncBot?

Złośliwe oprogramowanie jest wykorzystywane głównie w celach zarobkowych. Inne potencjalne przyczyny to zakłócanie procesów (np. stron internetowych, usług, działalności firm itp.), chęć rozrywki lub zemsty osobistej ze strony atakujących, haktywizm oraz motywy polityczne/geopolityczne.

W jaki sposób złośliwe oprogramowanie FvncBot dostało się na moje urządzenie z systemem Android?

Chociaż sposób dystrybucji FvncBot nie jest znany, program ten został zamaskowany jako aplikacja zabezpieczająca mBanku. Najczęściej stosowane metody rozprzestrzeniania złośliwego oprogramowania obejmują: złośliwe reklamy, spamowe wiadomości e-mail/SMS-y, oszustwa internetowe, pobieranie drive-by, podejrzane źródła pobierania, pirackie treści, fałszywe aktualizatory i nielegalne narzędzia do aktywacji oprogramowania („cracki”). Niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się poprzez sieci lokalne i przenośne urządzenia pamięci masowej.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner jest w stanie wykrywać i usuwać praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że wykonanie pełnego skanowania systemu jest niezbędne, ponieważ zaawansowane złośliwe programy mają tendencję do ukrywania się głęboko w systemach.