ToxicPanda Mobile Malware
En ny stamme af Android-bankmalwaren, kaldet ToxicPanda, har inficeret over 1.500 Android-enheder, hvilket gør det muligt for cyberkriminelle at udføre svigagtige banktransaktioner. ToxicPandas primære mål er at igangsætte uautoriserede pengeoverførsler fra kompromitterede enheder gennem kontoovertagelse (ATO) ved hjælp af en teknik kendt som on-device fraud (ODF). Denne metode søger at omgå banksikkerhedsforanstaltninger designet til at verificere brugernes identitet og opdage usædvanlige transaktionsmønstre gennem adfærdsanalyse.
Forskere mener, at ToxicPanda stammer fra en kinesisktalende trusselsaktør. Malwaren har bemærkelsesværdige ligheder med TgToxic , en anden Android-malware, der blev identificeret i begyndelsen af 2023. TgToxic er i stand til at stjæle legitimationsoplysninger og midler fra cryptocurrency-punge.
Indholdsfortegnelse
ToxicPanda er rettet mod et forskelligartet sæt lande
Størstedelen af infektionerne er blevet observeret i Italien (56,8 %), efterfulgt af Portugal (18,7 %), Hongkong (4,6 %), Spanien (3,9 %) og Peru (3,4 %). Dette er et usædvanligt tilfælde, hvor en kinesisk trusselsaktør har målrettet detailbankbrugere i både Europa og Latinamerika.
Denne banktrojaner ser ud til at være i sine tidlige stadier, og analyser viser, at den er en formindsket version af sin forgænger. Nøglefunktioner som Automatic Transfer System (ATS), Easyclick og sløringsrutiner er blevet fjernet, mens 33 nye kommandoer er blevet tilføjet for at udtrække et bredere udvalg af data.
Desuden er 61 kommandoer delt mellem TgToxic og ToxicPanda, hvilket tyder på, at den samme trusselsaktør eller nære medarbejdere sandsynligvis står bag denne malware-familie. Selvom ToxicPanda bevarer nogle bot-kommando-ligheder med TgToxic-familien, afviger dens kode betydeligt. Flere funktioner, der er typiske for TgToxic, mangler, og nogle kommandoer ser ud til at være pladsholdere uden egentlig funktionalitet.
Hvordan fungerer ToxicPanda Banking Trojan?
Malwaren forklæder sig selv som velkendte applikationer som Google Chrome, Visa og 99 Speedmart, distribueret gennem falske websteder, der efterligner legitime app-butikker. Det er stadig uklart, hvordan disse links deles, eller om teknikker såsom malvertising eller smishing er involveret.
Når den først er installeret via sideloading, udnytter ToxicPanda Androids tilgængelighedstjenester til at få forhøjede tilladelser, automatisere brugerinput og fange data fra andre applikationer. Det kan opsnappe engangsadgangskoder (OTP'er), der sendes via SMS eller autentificeringsapps, hvilket giver angribere mulighed for at omgå to-faktor-godkendelse (2FA) og gennemføre uautoriserede transaktioner.
Ud over dataindsamling gør malwarens primære funktion det muligt for angribere at fjernstyre den kompromitterede enhed og udføre svindel på enheden (ODF), hvilket letter uautoriserede pengeoverførsler uden ofrets bevidsthed.
Forskere rapporterer, at de fik adgang til ToxicPandas Command-and-Control (C2) panel. I denne kinesisk-sprogede grænseflade kan operatører se en liste over inficerede enheder, inklusive model- og placeringsdetaljer, og endda fjerne dem fra botnettet. Panelet gør det også muligt for operatører at anmode om fjernadgang i realtid til enheder for at udføre ODF-aktiviteter.
ToxicPanda kan være i tidlig udvikling af cyberkriminelle
ToxicPanda har endnu ikke vist mere sofistikerede eller karakteristiske egenskaber, der ville gøre analysen mere udfordrende. Elementer som logdata, ubrugt kode og fejlfindingsfiler indikerer dog, at malwaren enten kan være i de tidlige udviklingsstadier eller undergå betydelig koderefaktorering, især i betragtning af dens ligheder med TGToxic.
