বিষাক্ত পান্ডা মোবাইল ম্যালওয়্যার

অ্যান্ড্রয়েড ব্যাঙ্কিং ম্যালওয়্যারের একটি নতুন স্ট্রেন, টক্সিকপান্ডা নামক, 1,500 টিরও বেশি অ্যান্ড্রয়েড ডিভাইসকে সংক্রামিত করেছে, যা সাইবার অপরাধীদের জালিয়াতিপূর্ণ ব্যাঙ্কিং লেনদেন করতে সক্ষম করেছে৷ ToxicPanda-এর প্রাথমিক উদ্দেশ্য হল অন-ডিভাইস ফ্রড (ODF) নামে পরিচিত একটি কৌশল ব্যবহার করে অ্যাকাউন্ট টেকওভার (ATO) এর মাধ্যমে আপস করা ডিভাইসগুলি থেকে অননুমোদিত অর্থ স্থানান্তর শুরু করা। এই পদ্ধতিটি ব্যবহারকারীদের পরিচয় যাচাই করতে এবং আচরণগত বিশ্লেষণের মাধ্যমে অস্বাভাবিক লেনদেনের ধরণগুলি সনাক্ত করার জন্য ডিজাইন করা ব্যাঙ্ক নিরাপত্তা ব্যবস্থা এড়াতে চায়।

গবেষকরা বিশ্বাস করেন যে টক্সিকপান্ডা একজন চীনা-ভাষী হুমকি অভিনেতা থেকে উদ্ভূত হয়েছে। ম্যালওয়্যারটির TgToxic- এর সাথে উল্লেখযোগ্য মিল রয়েছে, 2023 সালের প্রথম দিকে চিহ্নিত আরেকটি Android ম্যালওয়্যার। TgToxic ক্রিপ্টোকারেন্সি ওয়ালেট থেকে শংসাপত্র এবং তহবিল চুরি করতে সক্ষম।

বিষাক্ত পান্ডা বিভিন্ন দেশকে লক্ষ্য করে

বেশিরভাগ সংক্রমণ ইতালিতে (56.8%), পর্তুগাল (18.7%), হংকং (4.6%), স্পেন (3.9%) এবং পেরু (3.4%) অনুসরণ করা হয়েছে। এটি একটি অস্বাভাবিক ঘটনা যেখানে একজন চীনা হুমকি অভিনেতা ইউরোপ এবং লাতিন আমেরিকা উভয়ের খুচরা ব্যাঙ্কিং ব্যবহারকারীদের লক্ষ্য করেছেন।

এই ব্যাঙ্কিং ট্রোজানটি তার প্রাথমিক পর্যায়ে রয়েছে বলে মনে হচ্ছে, বিশ্লেষণ এটিকে পূর্বসূরীর একটি প্যারড-ডাউন সংস্করণ হিসাবে প্রকাশ করে। স্বয়ংক্রিয় স্থানান্তর সিস্টেম (ATS), Easyclick এবং অস্পষ্টতা রুটিনগুলির মতো মূল বৈশিষ্ট্যগুলি সরানো হয়েছে, যখন 33টি নতুন কমান্ড যুক্ত করা হয়েছে একটি বিস্তৃত পরিসরের ডেটা বের করার জন্য৷

অধিকন্তু, TgToxic এবং ToxicPanda-এর মধ্যে 61টি কমান্ড শেয়ার করা হয়েছে, যা এই ম্যালওয়্যার পরিবারের পিছনে একই হুমকি অভিনেতা বা ঘনিষ্ঠ সহযোগীদের থাকার পরামর্শ দেয়। যদিও টক্সিকপান্ডা TgToxic পরিবারের সাথে কিছু বট কমান্ডের মিল বজায় রাখে, তবে এর কোড উল্লেখযোগ্যভাবে ভিন্ন হয়ে যায়। TgToxic-এর সাধারণ বেশ কিছু ফাংশন অনুপস্থিত, এবং কিছু কমান্ডকে কোনো বাস্তব কার্যকারিতা ছাড়াই স্থানধারক বলে মনে হয়।

বিষাক্তপান্ডা ব্যাংকিং ট্রোজান কিভাবে কাজ করে?

ম্যালওয়্যারটি নিজেকে গুগুল ক্রোম, ভিসা এবং 99 স্পিডমার্টের মতো সুপরিচিত অ্যাপ্লিকেশনের মতো ছদ্মবেশ ধারণ করে, যা জাল ওয়েবসাইটের মাধ্যমে বিতরণ করা হয় যা বৈধ অ্যাপ স্টোর তালিকা অনুকরণ করে। এই লিঙ্কগুলি কীভাবে ভাগ করা হচ্ছে বা ম্যালভার্টাইজিং বা স্মিশিংয়ের মতো কৌশলগুলি জড়িত কিনা তা এখনও স্পষ্ট নয়৷

একবার সাইডলোডিংয়ের মাধ্যমে ইনস্টল হয়ে গেলে, ToxicPanda উন্নত অনুমতি পেতে, ব্যবহারকারীর ইনপুটগুলি স্বয়ংক্রিয় করতে এবং অন্যান্য অ্যাপ্লিকেশন থেকে ডেটা ক্যাপচার করতে Android এর অ্যাক্সেসিবিলিটি পরিষেবাগুলিকে কাজে লাগায়৷ এটি এসএমএস বা প্রমাণীকরণকারী অ্যাপের মাধ্যমে পাঠানো ওয়ান-টাইম পাসওয়ার্ড (ওটিপি) আটকাতে পারে, যা আক্রমণকারীদের দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) বাইপাস করতে এবং অননুমোদিত লেনদেন সম্পূর্ণ করতে দেয়।

ডেটা সংগ্রহের বাইরে, ম্যালওয়্যারের প্রাথমিক ফাংশন আক্রমণকারীদের দূরবর্তীভাবে আপস করা ডিভাইস নিয়ন্ত্রণ করতে এবং অন-ডিভাইস জালিয়াতি (ODF) চালাতে সক্ষম করে, শিকারের সচেতনতা ছাড়াই অননুমোদিত অর্থ স্থানান্তরকে সহজ করে।

গবেষকরা রিপোর্ট করেছেন যে তারা ToxicPanda এর কমান্ড-এন্ড-কন্ট্রোল (C2) প্যানেল অ্যাক্সেস করেছে। এই চীনা-ভাষার ইন্টারফেসে, অপারেটররা মডেল এবং অবস্থানের বিবরণ সহ সংক্রামিত ডিভাইসগুলির একটি তালিকা দেখতে পারে এবং এমনকি সেগুলিকে বটনেট থেকে সরিয়েও দিতে পারে। প্যানেলটি অপারেটরদের ওডিএফ কার্যক্রম চালানোর জন্য ডিভাইসে রিয়েল-টাইম রিমোট অ্যাক্সেসের অনুরোধ করতে সক্ষম করে।

ToxicPanda সাইবার অপরাধীদের দ্বারা প্রাথমিক বিকাশ হতে পারে

টক্সিকপান্ডা এখনও আরও পরিশীলিত বা স্বতন্ত্র ক্ষমতা প্রদর্শন করতে পারেনি যা এর বিশ্লেষণকে আরও চ্যালেঞ্জিং করে তুলবে। যাইহোক, লগিং ডেটা, অব্যবহৃত কোড এবং ডিবাগিং ফাইলের মতো উপাদানগুলি ইঙ্গিত করে যে ম্যালওয়্যার হয় বিকাশের প্রাথমিক পর্যায়ে থাকতে পারে বা উল্লেখযোগ্য কোড রিফ্যাক্টরিংয়ের মধ্য দিয়ে যেতে পারে, বিশেষ করে TGToxic এর সাথে এর মিল বিবেচনা করে।