ToxicPanda البرمجيات الخبيثة للهواتف المحمولة
لقد أصابت سلالة جديدة من البرمجيات الخبيثة المصرفية التي تعمل بنظام أندرويد، والتي أطلق عليها اسم ToxicPanda، أكثر من 1500 جهاز أندرويد، مما مكن مجرمي الإنترنت من تنفيذ معاملات مصرفية احتيالية. ويتمثل الهدف الأساسي لـ ToxicPanda في بدء تحويلات مالية غير مصرح بها من الأجهزة المخترقة من خلال الاستيلاء على الحساب (ATO) باستخدام تقنية تُعرف باسم الاحتيال على الجهاز (ODF). وتسعى هذه الطريقة إلى التهرب من تدابير أمن البنوك المصممة للتحقق من هويات المستخدمين واكتشاف أنماط المعاملات غير العادية من خلال التحليل السلوكي.
يعتقد الباحثون أن ToxicPanda نشأ من جهة تهديد ناطقة باللغة الصينية. يحتوي البرنامج الضار على أوجه تشابه ملحوظة مع TgToxic ، وهو برنامج ضار آخر يعمل بنظام Android تم تحديده في أوائل عام 2023. يتمتع TgToxic بالقدرة على سرقة بيانات الاعتماد والأموال من محافظ العملات المشفرة.
جدول المحتويات
تستهدف ToxicPanda مجموعة متنوعة من البلدان
وقد لوحظت أغلب حالات الإصابة في إيطاليا (56.8%)، تليها البرتغال (18.7%)، وهونج كونج (4.6%)، وإسبانيا (3.9%)، وبيرو (3.4%). وهذه حالة غير عادية حيث استهدف أحد الجهات الفاعلة الصينية مستخدمي الخدمات المصرفية للأفراد في كل من أوروبا وأمريكا اللاتينية.
يبدو أن هذا البرنامج الخبيث الذي يستهدف البنوك ما زال في مراحله الأولى، حيث كشف التحليل أنه نسخة مختصرة من سابقه. وقد تمت إزالة ميزات رئيسية مثل نظام النقل الآلي (ATS) وEasyclick وروتين التعتيم، في حين تمت إضافة 33 أمرًا جديدًا لاستخراج نطاق أوسع من البيانات.
علاوة على ذلك، هناك 61 أمرًا مشتركًا بين TgToxic وToxicPanda، مما يشير إلى أن نفس الجهة الفاعلة في التهديد أو المقربين منها من المحتمل أن يكونوا وراء عائلة البرامج الضارة هذه. وعلى الرغم من أن ToxicPanda يحتفظ ببعض أوجه التشابه بين أوامر الروبوت وعائلة TgToxic، إلا أن كودها يختلف بشكل كبير. العديد من الوظائف النموذجية لـ TgToxic مفقودة، ويبدو أن بعض الأوامر عبارة عن عناصر نائبة بدون وظيفة فعلية.
كيف يعمل برنامج Trojan المصرفي ToxicPanda؟
يتخفى البرنامج الخبيث في هيئة تطبيقات معروفة مثل Google Chrome وVisa و99 Speedmart، ويتم توزيعه عبر مواقع ويب مزيفة تحاكي قوائم متاجر التطبيقات الشرعية. ولا يزال من غير الواضح كيف تتم مشاركة هذه الروابط أو ما إذا كانت تقنيات مثل الإعلانات الضارة أو الاحتيال عبر الرسائل النصية القصيرة متورطة في ذلك.
بمجرد تثبيته عبر التحميل الجانبي، يستغل ToxicPanda خدمات إمكانية الوصول في Android للحصول على أذونات مرتفعة، وأتمتة إدخالات المستخدم، والتقاط البيانات من تطبيقات أخرى. يمكنه اعتراض كلمات المرور لمرة واحدة (OTPs) المرسلة عبر الرسائل القصيرة أو تطبيقات المصادقة، مما يسمح للمهاجمين بتجاوز المصادقة الثنائية (2FA) وإكمال المعاملات غير المصرح بها.
وبعيدًا عن جمع البيانات، فإن الوظيفة الأساسية للبرامج الضارة هي تمكين المهاجمين من التحكم في الجهاز المخترق عن بُعد وتنفيذ عمليات احتيال على الجهاز (ODF)، مما يسهل عمليات تحويل الأموال غير المصرح بها دون علم الضحية.
أفاد الباحثون أنهم تمكنوا من الوصول إلى لوحة التحكم والقيادة (C2) الخاصة ببرنامج ToxicPanda. وفي هذه الواجهة المكتوبة باللغة الصينية، يستطيع المشغلون عرض قائمة بالأجهزة المصابة، بما في ذلك تفاصيل الطراز والموقع، بل وحتى إزالتها من شبكة الروبوتات. كما تمكن اللوحة المشغلين من طلب الوصول عن بُعد في الوقت الفعلي إلى الأجهزة لتنفيذ أنشطة ODF.
قد يكون ToxicPanda في مرحلة التطوير المبكر من قبل مجرمي الإنترنت
لم يُظهِر ToxicPanda بعد قدرات أكثر تطورًا أو تميزًا من شأنها أن تجعل تحليله أكثر صعوبة. ومع ذلك، تشير عناصر مثل تسجيل البيانات، والرمز غير المستخدم، وملفات التصحيح إلى أن البرنامج الخبيث قد يكون في المراحل المبكرة من التطوير أو يخضع لإعادة هيكلة كبيرة للكود، خاصة بالنظر إلى أوجه التشابه بينه وبين TGToxic.
