Мобилен зловреден софтуер ToxicPanda
Нов вид банков злонамерен софтуер за Android, наречен ToxicPanda, е заразил над 1500 устройства с Android, позволявайки на киберпрестъпниците да извършват измамни банкови транзакции. Основната цел на ToxicPanda е да инициира неразрешени парични преводи от компрометирани устройства чрез превземане на акаунт (ATO), използвайки техника, известна като измама на устройството (ODF). Този метод се стреми да избегне банковите мерки за сигурност, предназначени да проверяват самоличността на потребителите и да откриват необичайни модели на транзакции чрез поведенчески анализ.
Изследователите смятат, че ToxicPanda произлиза от китайско говорящ заплашващ актьор. Зловреден софтуер има забележителни прилики с TgToxic , друг злонамерен софтуер за Android, идентифициран в началото на 2023 г. TgToxic е способен да краде идентификационни данни и средства от портфейли за криптовалута.
Съдържание
ToxicPanda е насочена към разнообразен набор от държави
По-голямата част от инфекциите са наблюдавани в Италия (56,8%), следвана от Португалия (18,7%), Хонконг (4,6%), Испания (3,9%) и Перу (3,4%). Това е необичаен случай, при който китайски заплаха се е насочил към потребителите на банкиране на дребно както в Европа, така и в Латинска Америка.
Този банков троянски кон изглежда е в ранните си етапи, като анализът го разкрива като намалена версия на своя предшественик. Ключови функции като системата за автоматично прехвърляне (ATS), Easyclick и процедурите за обфускация са премахнати, докато 33 нови команди са добавени за извличане на по-широк набор от данни.
Освен това, 61 команди се споделят между TgToxic и ToxicPanda, което предполага, че същият участник в заплахата или близки сътрудници вероятно стоят зад това семейство зловреден софтуер. Въпреки че ToxicPanda запазва някои прилики на бот команди със семейството TgToxic, неговият код се различава значително. Няколко функции, характерни за TgToxic, липсват и някои команди изглеждат запазени места без реална функционалност.
Как работи троянският кон ToxicPanda Banking?
Зловреден софтуер се маскира като добре познати приложения като Google Chrome, Visa и 99 Speedmart, разпространявани чрез фалшиви уебсайтове, които имитират легитимни списъци в магазина за приложения. Остава неясно как се споделят тези връзки или дали са включени техники като злонамерена реклама или осмиване.
Веднъж инсталиран чрез странично зареждане, ToxicPanda използва услугите за достъпност на Android, за да получи повишени разрешения, да автоматизира въвеждането на потребители и да улавя данни от други приложения. Той може да прихване еднократни пароли (OTP), изпратени чрез SMS или приложения за удостоверяване, позволявайки на нападателите да заобиколят двуфакторното удостоверяване (2FA) и да завършат неразрешени транзакции.
Освен събирането на данни, основната функция на злонамерения софтуер позволява на атакуващите да контролират компрометираното устройство от разстояние и да извършват измами на устройството (ODF), улеснявайки неоторизирани парични преводи без знанието на жертвата.
Изследователите съобщават, че са имали достъп до панела за командване и управление (C2) на ToxicPanda. В този интерфейс на китайски език операторите могат да видят списък със заразени устройства, включително подробности за модела и местоположението, и дори да ги премахнат от ботнета. Панелът също така позволява на операторите да поискат отдалечен достъп в реално време до устройства за изпълнение на ODF дейности.
ToxicPanda може да е в ранна разработка от киберпрестъпници
ToxicPanda все още не е показала по-сложни или отличителни способности, които биха направили анализа му по-предизвикателен. Елементи като регистрирани данни, неизползван код и файлове за отстраняване на грешки обаче показват, че злонамереният софтуер може да е в ранните етапи на разработка или да е подложен на значително преработване на кода, особено като се имат предвид приликите му с TGToxic.
