ToxicPanda Mobile -haittaohjelma
Uusi Android-pankkihaittaohjelma, nimeltään ToxicPanda, on tartuttanut yli 1 500 Android-laitetta, mikä on antanut kyberrikollisille mahdollisuuden suorittaa vilpillisiä pankkitapahtumia. ToxicPandan ensisijainen tavoite on käynnistää luvattomat rahansiirrot vaarantuneista laitteista tilin haltuunoton (ATO) kautta käyttämällä tekniikkaa, joka tunnetaan nimellä on-device fraud (ODF). Tällä menetelmällä pyritään välttämään pankkien turvatoimia, jotka on suunniteltu varmistamaan käyttäjien henkilöllisyydet ja havaitsemaan epätavalliset tapahtumamallit käyttäytymisanalyysin avulla.
Tutkijat uskovat, että ToxicPanda on peräisin kiinaa puhuvalta uhkatekijältä. Haittaohjelmalla on huomattavia yhtäläisyyksiä TgToxicin kanssa, joka on toinen vuoden 2023 alussa tunnistettu Android-haittaohjelma. TgToxic pystyy varastamaan tunnistetietoja ja varoja kryptovaluuttalompakoista.
Sisällysluettelo
ToxicPanda on suunnattu moniin maihin
Suurin osa tartunnoista on havaittu Italiassa (56,8 %), jota seuraavat Portugali (18,7 %), Hongkong (4,6 %), Espanja (3,9 %) ja Perussa (3,4 %). Tämä on epätavallinen tapaus, jossa kiinalainen uhkatoimija on kohdistanut vähittäispankkitoiminnan käyttäjiin sekä Euroopassa että Latinalaisessa Amerikassa.
Tämä pankkitroijalainen näyttää olevan varhaisessa vaiheessaan, ja analyysi paljastaa sen edeltäjänsä pienennetyksi versioksi. Tärkeimmät ominaisuudet, kuten automaattinen siirtojärjestelmä (ATS), Easyclick ja obfuskaatiorutiinit, on poistettu, ja lisätty 33 uutta komentoa laajemman tiedon poimimiseksi.
Lisäksi TgToxicin ja ToxicPandan välillä on jaettu 61 komentoa, mikä viittaa siihen, että tämän haittaohjelmaperheen takana on todennäköisesti sama uhkatekijä tai läheiset kumppanit. Vaikka ToxicPanda säilyttää joitakin bot-komentojen yhtäläisyyksiä TgToxic-perheen kanssa, sen koodi eroaa huomattavasti. Useita TgToxicille tyypillisiä toimintoja puuttuu, ja jotkut komennot näyttävät olevan paikkamerkkejä, joilla ei ole varsinaista toimivuutta.
Kuinka ToxicPanda Banking Troijalainen toimii?
Haittaohjelma naamioituu tunnetuiksi sovelluksiksi, kuten Google Chrome, Visa ja 99 Speedmart, joita levitetään väärennettyjen verkkosivustojen kautta, jotka jäljittelevät laillisia sovelluskaupan tietoja. On edelleen epäselvää, kuinka nämä linkit jaetaan tai liittyykö siihen sellaisia tekniikoita kuin haitallinen mainonta tai huijaaminen.
Kun ToxicPanda on asennettu sivulatauksella, se hyödyntää Androidin esteettömyyspalveluita saadakseen lisäoikeuksia, automatisoidakseen käyttäjän syötteitä ja kaapatakseen tietoja muista sovelluksista. Se voi siepata kertaluonteisia salasanoja (OTP), jotka lähetetään tekstiviestillä tai todennussovelluksilla, jolloin hyökkääjät voivat ohittaa kaksivaiheisen todennuksen (2FA) ja suorittaa luvattomia tapahtumia.
Tiedonkeruun lisäksi haittaohjelman ensisijainen toiminto antaa hyökkääjille mahdollisuuden hallita vaarantunutta laitetta etäältä ja suorittaa laitteessa olevia petoksia (ODF), mikä mahdollistaa luvattoman rahansiirron uhrin tietämättä.
Tutkijat kertovat käyttäneensä ToxicPandan Command-and-Control (C2) -paneelia. Tässä kiinankielisessä käyttöliittymässä operaattorit voivat tarkastella tartunnan saaneiden laitteiden luetteloa, mukaan lukien malli- ja sijaintitiedot, ja jopa poistaa ne bottiverkosta. Paneelin avulla käyttäjät voivat myös pyytää reaaliaikaista etäkäyttöä laitteisiin ODF-toimintojen suorittamiseksi.
ToxicPanda saattaa olla kyberrikollisten varhaisessa kehitysvaiheessa
ToxicPanda ei ole vielä esittänyt kehittyneempiä tai erottuvampia ominaisuuksia, jotka tekisivät sen analysoinnista haastavampaa. Kuitenkin elementit, kuten lokitiedot, käyttämätön koodi ja virheenkorjaustiedostot, osoittavat, että haittaohjelma voi olla joko kehitysvaiheessa tai olla merkittävässä koodin uudelleenmuodostuksessa, varsinkin kun otetaan huomioon sen samankaltaisuudet TGToxicin kanssa.
