ToxicPanda mobiili pahavara
Androidi panganduse pahavara uus tüvi, nimega ToxicPanda, on nakatanud üle 1500 Androidi seadme, võimaldades küberkurjategijatel teha petturlikke pangatehinguid. ToxicPanda peamine eesmärk on algatada volitamata rahaülekandeid ohustatud seadmetest konto ülevõtmise (ATO) kaudu, kasutades tehnikat, mida tuntakse seadmesisese pettusena (ODF). Selle meetodi eesmärk on vältida pankade turvameetmeid, mille eesmärk on kontrollida kasutajate identiteeti ja tuvastada käitumisanalüüsi abil ebatavalisi tehingumustreid.
Teadlased usuvad, et ToxicPanda pärineb hiina keelt kõnelevalt ohunäitlejalt. Pahavaral on märkimisväärseid sarnasusi TgToxicuga , teise Androidi pahavaraga, mis tuvastati 2023. aasta alguses. TgToxic on võimeline varastama mandaate ja raha krüptovaluuta rahakotist.
Sisukord
ToxicPanda sihib erinevaid riike
Enamik nakatumisi on täheldatud Itaalias (56,8%), millele järgnesid Portugal (18,7%), Hongkong (4,6%), Hispaania (3,9%) ja Peruu (3,4%). Tegemist on ebatavalise juhtumiga, kus Hiina ohutegija on võtnud sihikule jaepanganduse kasutajad nii Euroopas kui ka Ladina-Ameerikas.
Tundub, et see pangandustroojalane on oma varajases staadiumis ja analüüs näitab, et see on eelkäija vähendatud versioon. Põhifunktsioonid, nagu automaatne edastussüsteem (ATS), Easyclick ja hägustamise rutiinid, on eemaldatud, samas kui laiema hulga andmete eraldamiseks on lisatud 33 uut käsku.
Lisaks jagavad TgToxicu ja ToxicPanda vahel 61 käsku, mis viitab sellele, et selle pahavaraperekonna taga on tõenäoliselt sama ohustaja või lähedased partnerid. Kuigi ToxicPanda säilitab mõningaid robotkäskude sarnasusi TgToxicu perekonnaga, erineb selle kood oluliselt. Puuduvad mitmed TgToxicule tüüpilised funktsioonid ja mõned käsud näivad olevat kohahoidjad, millel puudub tegelik funktsionaalsus.
Kuidas ToxicPanda panganduse troojalane töötab?
Pahavara maskeerib end tuntud rakendustena, nagu Google Chrome, Visa ja 99 Speedmart, mida levitatakse võltsveebisaitide kaudu, mis jäljendavad seaduslikke rakenduste poe kirjeid. Jääb ebaselgeks, kuidas neid linke jagatakse või kas tegemist on selliste tehnikatega nagu pahatahtlik reklaamimine või segamine.
Pärast külglaadimise kaudu installimist kasutab ToxicPanda Androidi juurdepääsetavuse teenuseid, et saada kõrgendatud õigusi, automatiseerida kasutajate sisestusi ja koguda andmeid teistest rakendustest. See võib pealt püüda SMS-i või autentimisrakenduste kaudu saadetud ühekordseid paroole (OTP-sid), võimaldades ründajatel kahefaktorilisest autentimisest (2FA) mööda minna ja volitamata tehinguid lõpule viia.
Lisaks andmete kogumisele võimaldab ründevara esmane funktsioon ründajatel ohustatud seadet eemalt juhtida ja seadmesiseseid pettusi (ODF) läbi viia, hõlbustades sellega volitamata rahaülekandeid ilma ohvri teadmata.
Teadlased teatavad, et nad avasid ToxicPanda käsu-ja juhtimispaneeli (C2). Selles hiinakeelses liideses saavad operaatorid vaadata nakatunud seadmete loendit, sealhulgas mudeli ja asukoha üksikasju, ning neid isegi robotvõrgust eemaldada. Paneel võimaldab ka operaatoritel taotleda reaalajas kaugjuurdepääsu seadmetele ODF-i toimingute tegemiseks.
ToxicPanda võivad olla küberkurjategijate poolt väljatöötamisel
ToxicPanda ei ole veel ilmutanud keerukamaid või eristuvamaid võimalusi, mis muudaksid selle analüüsi keerulisemaks. Sellised elemendid nagu logiandmed, kasutamata kood ja silumisfailid viitavad aga sellele, et pahavara võib olla arenduse varajases staadiumis või läbib olulise koodi ümberkujundamise, eriti arvestades selle sarnasusi TGToxicuga.
