ToxicPanda Mobile Malware
Nový kmen bankovního malwaru Android, nazvaný ToxicPanda, infikoval více než 1 500 zařízení Android, což umožňuje kyberzločincům provádět podvodné bankovní transakce. Primárním cílem ToxicPanda je iniciovat neoprávněné převody peněz z kompromitovaných zařízení prostřednictvím převzetí účtu (ATO) pomocí techniky známé jako podvod na zařízení (ODF). Tato metoda se snaží vyhnout bankovním bezpečnostním opatřením navrženým k ověření identity uživatelů a odhalení neobvyklých vzorců transakcí prostřednictvím analýzy chování.
Vědci se domnívají, že ToxicPanda pochází od čínsky mluvícího aktéra hrozby. Malware má pozoruhodné podobnosti s TgToxic , dalším malwarem pro Android identifikovaným na začátku roku 2023. TgToxic je schopen krást přihlašovací údaje a finanční prostředky z kryptoměnových peněženek.
Obsah
ToxicPanda se zaměřuje na různé země
Většina infekcí byla pozorována v Itálii (56,8 %), dále v Portugalsku (18,7 %), Hongkongu (4,6 %), Španělsku (3,9 %) a Peru (3,4 %). Jde o neobvyklý případ, kdy se čínský aktér hrozeb zaměřil na uživatele retailového bankovnictví v Evropě i Latinské Americe.
Zdá se, že tento bankovní trojan je ve své rané fázi a analýza jej odhalila jako zmenšenou verzi svého předchůdce. Klíčové funkce, jako je automatický přenosový systém (ATS), Easyclick a obfuskační rutiny, byly odstraněny a bylo přidáno 33 nových příkazů pro extrakci širšího rozsahu dat.
Kromě toho je mezi TgToxic a ToxicPanda sdíleno 61 příkazů, což naznačuje, že za touto rodinou malwaru pravděpodobně stojí stejný aktér hrozby nebo blízcí spolupracovníci. Ačkoli si ToxicPanda zachovává některé podobnosti příkazů botů s rodinou TgToxic, jeho kód se výrazně liší. Několik funkcí typických pro TgToxic chybí a některé příkazy se zdají být zástupnými symboly bez skutečné funkčnosti.
Jak funguje bankovní trojan ToxicPanda?
Malware se maskuje jako dobře známé aplikace, jako je Google Chrome, Visa a 99 Speedmart, distribuované prostřednictvím falešných webových stránek, které napodobují legitimní záznamy v obchodě s aplikacemi. Zůstává nejasné, jak jsou tyto odkazy sdíleny nebo zda se jedná o techniky jako malvertising nebo smishing.
Po instalaci pomocí sideloadingu využívá ToxicPanda služby pro usnadnění přístupu Android k získání zvýšených oprávnění, automatizaci uživatelských vstupů a zachycení dat z jiných aplikací. Dokáže zachytit jednorázová hesla (OTP) odeslaná prostřednictvím SMS nebo ověřovacích aplikací, což útočníkům umožňuje obejít dvoufaktorovou autentizaci (2FA) a dokončit neautorizované transakce.
Kromě sběru dat umožňuje primární funkce malwaru útočníkům ovládat napadené zařízení na dálku a provádět podvody na zařízení (ODF), což umožňuje neoprávněné převody peněz bez vědomí oběti.
Výzkumníci hlásí, že se dostali na panel Command-and-Control (C2) ToxicPanda. V tomto rozhraní v čínštině mohou operátoři zobrazit seznam infikovaných zařízení, včetně podrobností o modelu a umístění, a dokonce je odstranit z botnetu. Panel také umožňuje operátorům požadovat vzdálený přístup k zařízením v reálném čase za účelem provádění činností ODF.
ToxicPanda může být v raném vývoji od kyberzločinců
ToxicPanda musí ještě ukázat sofistikovanější nebo výraznější schopnosti, které by ztížily její analýzu. Prvky jako protokolování dat, nepoužitý kód a ladicí soubory však naznačují, že malware by mohl být buď v raných fázích vývoje, nebo by mohl procházet významnou refaktorizací kódu, zejména s ohledem na jeho podobnosti s TGToxic.
