بدافزار ToxicPanda Mobile

نوع جدیدی از بدافزار بانکی اندروید به نام ToxicPanda بیش از 1500 دستگاه اندرویدی را آلوده کرده است و مجرمان سایبری را قادر می‌سازد تا تراکنش‌های بانکی متقلبانه را انجام دهند. هدف اصلی ToxicPanda شروع نقل و انتقالات غیرمجاز پول از دستگاه های در معرض خطر از طریق تصاحب حساب (ATO) با استفاده از تکنیکی به نام کلاهبرداری در دستگاه (ODF) است. این روش به دنبال فرار از اقدامات امنیتی بانک است که برای تأیید هویت کاربران و شناسایی الگوهای تراکنش غیرمعمول از طریق تجزیه و تحلیل رفتاری طراحی شده است.

محققان بر این باورند که ToxicPanda از یک عامل تهدید چینی زبان سرچشمه می گیرد. این بدافزار شباهت‌های قابل‌توجهی به TgToxic ، بدافزار اندرویدی دیگری که در اوایل سال 2023 شناسایی شد، دارد. TgToxic قادر به سرقت اعتبار و وجوه از کیف‌پول‌های ارزهای دیجیتال است.

ToxicPanda مجموعه متنوعی از کشورها را هدف قرار می دهد

اکثر موارد عفونت در ایتالیا (56.8 درصد) و پس از آن پرتغال (18.7 درصد)، هنگ کنگ (4.6 درصد)، اسپانیا (3.9 درصد) و پرو (3.4 درصد) مشاهده شده است. این یک مورد غیرعادی است که در آن یک عامل تهدید چینی کاربران خرده فروشی بانکی را در اروپا و آمریکای لاتین هدف قرار داده است.

به نظر می رسد که این تروجان بانکی در مراحل اولیه خود است و تجزیه و تحلیل آن را به عنوان یک نسخه کاهش یافته از سلف خود نشان می دهد. ویژگی‌های کلیدی مانند سیستم انتقال خودکار (ATS)، Easyclick و روال‌های مبهم حذف شده‌اند، در حالی که ۳۳ فرمان جدید برای استخراج طیف وسیع‌تری از داده‌ها اضافه شده‌اند.

علاوه بر این، 61 دستور بین TgToxic و ToxicPanda به اشتراک گذاشته شده است، که نشان می دهد همان عامل تهدید یا همکاران نزدیک احتمالاً پشت این خانواده بدافزار هستند. اگرچه ToxicPanda برخی از شباهت‌های دستور ربات را با خانواده TgToxic حفظ می‌کند، کد آن به طور قابل توجهی متفاوت است. چندین توابع معمولی TgToxic وجود ندارد، و برخی از دستورات به نظر می‌رسد مکان‌هایی هستند که عملکرد واقعی ندارند.

تروجان بانکی ToxicPanda چگونه کار می کند؟

این بدافزار خود را به عنوان برنامه‌های معروفی مانند Google Chrome، Visa و 99 Speedmart پنهان می‌کند که از طریق وب‌سایت‌های جعلی که فهرست‌های فروشگاه برنامه‌های قانونی را تقلید می‌کنند، توزیع می‌شوند. هنوز مشخص نیست که چگونه این پیوندها به اشتراک گذاشته می شوند یا اینکه آیا تکنیک هایی مانند تبلیغات نادرست یا smishing در آن دخیل هستند یا خیر.

پس از نصب از طریق بارگذاری جانبی، ToxicPanda از خدمات دسترسی اندروید برای به دست آوردن مجوزهای بالاتر، خودکارسازی ورودی های کاربر و گرفتن داده ها از سایر برنامه ها استفاده می کند. این می تواند رمزهای عبور یکبار مصرف (OTP) ارسال شده از طریق پیامک یا برنامه های احراز هویت را رهگیری کند و به مهاجمان اجازه می دهد تا احراز هویت دو مرحله ای (2FA) را دور بزنند و تراکنش های غیرمجاز را کامل کنند.

فراتر از جمع‌آوری داده‌ها، عملکرد اصلی بدافزار مهاجمان را قادر می‌سازد تا دستگاه در معرض خطر را از راه دور کنترل کنند و کلاهبرداری روی دستگاه (ODF) را اجرا کنند، که انتقال پول غیرمجاز را بدون آگاهی قربانی تسهیل می‌کند.

محققان گزارش می دهند که به پنل فرمان و کنترل ToxicPanda (C2) دسترسی پیدا کرده اند. در این رابط به زبان چینی، اپراتورها می توانند لیستی از دستگاه های آلوده شامل جزئیات مدل و مکان را مشاهده کنند و حتی آنها را از بات نت حذف کنند. این پنل همچنین اپراتورها را قادر می سازد تا برای اجرای فعالیت های ODF دسترسی از راه دور به دستگاه ها را در زمان واقعی درخواست کنند.

ToxicPanda ممکن است در مراحل اولیه توسعه توسط مجرمان سایبری باشد

ToxicPanda هنوز توانایی های پیچیده یا متمایزتری را نشان نداده است که تجزیه و تحلیل آن را چالش برانگیزتر می کند. با این حال، عناصری مانند ثبت داده‌ها، کدهای استفاده نشده، و فایل‌های اشکال‌زدایی نشان می‌دهند که بدافزار می‌تواند در مراحل اولیه توسعه باشد یا در حال بازسازی کد قابل توجهی باشد، به ویژه با توجه به شباهت‌های آن با TGToxic.