תוכנה זדונית ניידת ToxicPanda
זן חדש של תוכנת זדונית בנקאית אנדרואיד, המכונה ToxicPanda, הדביק למעלה מ-1,500 מכשירי אנדרואיד, מה שמאפשר לפושעי סייבר לבצע עסקאות בנקאיות הונאה. המטרה העיקרית של ToxicPanda היא ליזום העברות כספים לא מורשות ממכשירים שנפגעו באמצעות השתלטות על חשבון (ATO) תוך שימוש בטכניקה המכונה הונאה במכשיר (ODF). שיטה זו מבקשת להתחמק מאמצעי אבטחה בנקים שנועדו לאמת את זהות המשתמשים ולזהות דפוסי עסקאות חריגים באמצעות ניתוח התנהגותי.
חוקרים מאמינים שמקורו של ToxicPanda הוא שחקן איום דובר סינית. לתוכנה הזדונית יש קווי דמיון בולטים ל- TgToxic , תוכנה זדונית נוספת של אנדרואיד שזוהתה בתחילת 2023. TgToxic מסוגלת לגנוב אישורים וכספים מארנקי מטבעות קריפטוגרפיים.
תוכן העניינים
ToxicPanda מכוונת לקבוצה מגוונת של מדינות
רוב הזיהומים נצפו באיטליה (56.8%), ואחריה פורטוגל (18.7%), הונג קונג (4.6%), ספרד (3.9%) ופרו (3.4%). זהו מקרה חריג שבו שחקן איום סיני כיוון למשתמשי בנקאות קמעונאית הן באירופה והן באמריקה הלטינית.
נראה כי הטרויאני הבנקאי הזה נמצא בשלביו המוקדמים, כאשר ניתוח חושף אותו כגרסה מצומצמת של קודמתה. תכונות מפתח כמו מערכת ההעברה האוטומטית (ATS), Easyclick ושגרות הערפול הוסרו, בעוד 33 פקודות חדשות נוספו כדי לחלץ מגוון רחב יותר של נתונים.
יתר על כן, 61 פקודות חולקות בין TgToxic ו- ToxicPanda, מה שמצביע על כך שאותו גורם איום או מקורבים עומדים כנראה מאחורי משפחת תוכנות זדוניות זו. למרות ש-ToxicPanda שומר על קווי דמיון של פקודות הבוטים עם משפחת TgToxic, הקוד שלה שונה באופן משמעותי. חסרות מספר פונקציות האופייניות ל-TgToxic, ונראה שחלק מהפקודות הן מצייני מיקום ללא פונקציונליות ממשית.
כיצד פועל הטרויאני ToxicPanda Banking?
התוכנה הזדונית מתחפשת ליישומים ידועים כמו Google Chrome, Visa ו-99 Speedmart, המופצים דרך אתרים מזויפים המחקים רישומים לגיטימיים של חנות אפליקציות. עדיין לא ברור כיצד חולקים קישורים אלה או אם מעורבות טכניקות כגון זלזול או סחיטה.
לאחר ההתקנה באמצעות טעינת צד, ToxicPanda מנצלת את שירותי הנגישות של אנדרואיד כדי לקבל הרשאות גבוהות, להפוך קלט משתמשים לאוטומטי וללכוד נתונים מיישומים אחרים. זה יכול ליירט סיסמאות חד פעמיות (OTP) שנשלחות באמצעות SMS או אפליקציות אימות, מה שמאפשר לתוקפים לעקוף אימות דו-גורמי (2FA) ולהשלים עסקאות לא מורשות.
מעבר לאיסוף נתונים, הפונקציה העיקרית של התוכנה הזדונית מאפשרת לתוקפים לשלוט במכשיר שנפגע מרחוק ולבצע הונאה במכשיר (ODF), מה שמאפשר העברות כספים לא מורשות ללא מודעות הקורבן.
חוקרים מדווחים שהם ניגשו לפאנל Command-and-Control (C2) של ToxicPanda. בממשק זה בשפה הסינית, מפעילים יכולים להציג רשימה של מכשירים נגועים, כולל פרטי דגם ומיקום, ואפילו להסיר אותם מהבוטנט. הפאנל גם מאפשר למפעילים לבקש גישה מרחוק בזמן אמת למכשירים כדי לבצע פעילויות ODF.
ToxicPanda עשוי להיות בפיתוח מוקדם על ידי פושעי סייבר
ToxicPanda עדיין לא הציגה יכולות מתוחכמות או ייחודיות יותר שיהפכו את הניתוח שלה למאתגר יותר. עם זאת, אלמנטים כמו נתוני רישום, קוד לא בשימוש וקבצי ניפוי באגים מצביעים על כך שהתוכנה הזדונית עשויה להיות בשלבי פיתוח מוקדמים או לעבור שינוי קוד משמעותי, במיוחד בהתחשב בדמיון שלה ל-TGToxic.
