ToxicPanda Mobile Malware
Ένα νέο είδος του τραπεζικού κακόβουλου λογισμικού Android, που ονομάζεται ToxicPanda, έχει μολύνει περισσότερες από 1.500 συσκευές Android, επιτρέποντας στους εγκληματίες του κυβερνοχώρου να πραγματοποιούν δόλιες τραπεζικές συναλλαγές. Ο πρωταρχικός στόχος του ToxicPanda είναι να ξεκινήσει μη εξουσιοδοτημένες μεταφορές χρημάτων από παραβιασμένες συσκευές μέσω της εξαγοράς λογαριασμού (ATO) χρησιμοποιώντας μια τεχνική γνωστή ως απάτη στη συσκευή (ODF). Αυτή η μέθοδος επιδιώκει να αποφύγει τα τραπεζικά μέτρα ασφαλείας που έχουν σχεδιαστεί για την επαλήθευση της ταυτότητας των χρηστών και τον εντοπισμό ασυνήθιστων μοτίβων συναλλαγών μέσω της ανάλυσης συμπεριφοράς.
Οι ερευνητές πιστεύουν ότι το ToxicPanda προέρχεται από έναν κινεζόφωνο παράγοντα απειλών. Το κακόβουλο λογισμικό έχει αξιοσημείωτες ομοιότητες με το TgToxic , ένα άλλο κακόβουλο λογισμικό Android που εντοπίστηκε στις αρχές του 2023. Το TgToxic είναι σε θέση να κλέβει διαπιστευτήρια και χρήματα από πορτοφόλια κρυπτονομισμάτων.
Πίνακας περιεχομένων
Το ToxicPanda στοχεύει σε ένα διαφορετικό σύνολο χωρών
Η πλειονότητα των μολύνσεων έχει παρατηρηθεί στην Ιταλία (56,8%), ακολουθούμενη από την Πορτογαλία (18,7%), το Χονγκ Κονγκ (4,6%), την Ισπανία (3,9%) και το Περού (3,4%). Αυτή είναι μια ασυνήθιστη περίπτωση όπου ένας κινέζος παράγοντας απειλών έχει στοχεύσει χρήστες λιανικής τραπεζικής τόσο στην Ευρώπη όσο και στη Λατινική Αμερική.
Αυτός ο τραπεζικός Trojan φαίνεται να βρίσκεται στα πρώτα του στάδια, με την ανάλυση να τον αποκαλύπτει ως μια ανανεωμένη έκδοση του προκατόχου του. Βασικά χαρακτηριστικά όπως το Automatic Transfer System (ATS), το Easyclick και οι ρουτίνες συσκότισης έχουν αφαιρεθεί, ενώ έχουν προστεθεί 33 νέες εντολές για την εξαγωγή ενός ευρύτερου φάσματος δεδομένων.
Επιπλέον, 61 εντολές κοινοποιούνται μεταξύ του TgToxic και του ToxicPanda, υποδηλώνοντας ότι ο ίδιος παράγοντας απειλής ή στενοί συνεργάτες είναι πιθανό πίσω από αυτήν την οικογένεια κακόβουλου λογισμικού. Αν και το ToxicPanda διατηρεί ορισμένες ομοιότητες με τις εντολές του bot με την οικογένεια TgToxic, ο κώδικάς του αποκλίνει σημαντικά. Λείπουν αρκετές τυπικές λειτουργίες του TgToxic και ορισμένες εντολές φαίνεται να είναι σύμβολα κράτησης θέσης χωρίς πραγματική λειτουργικότητα.
Πώς λειτουργεί το ToxicPanda Banking Trojan;
Το κακόβουλο λογισμικό μεταμφιέζεται σε γνωστές εφαρμογές όπως το Google Chrome, το Visa και το 99 Speedmart, που διανέμονται μέσω ψεύτικων ιστότοπων που μιμούνται νόμιμες καταχωρίσεις καταστημάτων εφαρμογών. Παραμένει ασαφές πώς μοιράζονται αυτοί οι σύνδεσμοι ή εάν εμπλέκονται τεχνικές όπως η κακή διαφήμιση ή το smishing.
Μόλις εγκατασταθεί μέσω sideloading, το ToxicPanda εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας του Android για να αποκτήσει αυξημένα δικαιώματα, να αυτοματοποιήσει τις εισαγωγές χρηστών και να καταγράψει δεδομένα από άλλες εφαρμογές. Μπορεί να υποκλέψει κωδικούς πρόσβασης μίας χρήσης (OTP) που αποστέλλονται μέσω SMS ή εφαρμογών ελέγχου ταυτότητας, επιτρέποντας στους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων (2FA) και να ολοκληρώσουν μη εξουσιοδοτημένες συναλλαγές.
Πέρα από τη συλλογή δεδομένων, η κύρια λειτουργία του κακόβουλου λογισμικού επιτρέπει στους εισβολείς να ελέγχουν την παραβιασμένη συσκευή από απόσταση και να εκτελούν απάτη στη συσκευή (ODF), διευκολύνοντας τις μη εξουσιοδοτημένες μεταφορές χρημάτων χωρίς να το γνωρίζει το θύμα.
Οι ερευνητές αναφέρουν ότι είχαν πρόσβαση στον πίνακα Command-and-Control (C2) του ToxicPanda. Σε αυτήν τη διεπαφή στην κινεζική γλώσσα, οι χειριστές μπορούν να δουν μια λίστα μολυσμένων συσκευών, συμπεριλαμβανομένων των λεπτομερειών μοντέλου και τοποθεσίας, ακόμη και να τις αφαιρέσουν από το botnet. Ο πίνακας επιτρέπει επίσης στους χειριστές να ζητούν απομακρυσμένη πρόσβαση σε συσκευές σε πραγματικό χρόνο για την εκτέλεση δραστηριοτήτων ODF.
Το ToxicPanda μπορεί να βρίσκεται σε πρώιμη ανάπτυξη από κυβερνοεγκληματίες
Το ToxicPanda δεν έχει ακόμη παρουσιάσει πιο εξελιγμένες ή ξεχωριστές δυνατότητες που θα έκαναν την ανάλυσή του πιο δύσκολη. Ωστόσο, στοιχεία όπως τα δεδομένα καταγραφής, ο αχρησιμοποίητος κώδικας και τα αρχεία εντοπισμού σφαλμάτων υποδεικνύουν ότι το κακόβουλο λογισμικό μπορεί είτε να βρίσκεται στα αρχικά στάδια ανάπτυξης είτε να υποβάλλεται σε σημαντική ανακατασκευή κώδικα, ειδικά λαμβάνοντας υπόψη τις ομοιότητές του με το TGToxic.
