टॉक्सिकपांडा मोबाइल मैलवेयर
एंड्रॉइड बैंकिंग मैलवेयर के एक नए प्रकार, जिसे टॉक्सिकपांडा कहा जाता है, ने 1,500 से अधिक एंड्रॉइड डिवाइस को संक्रमित कर दिया है, जिससे साइबर अपराधी धोखाधड़ी वाले बैंकिंग लेनदेन करने में सक्षम हो गए हैं। टॉक्सिकपांडा का प्राथमिक उद्देश्य ऑन-डिवाइस धोखाधड़ी (ODF) नामक तकनीक का उपयोग करके अकाउंट टेकओवर (ATO) के माध्यम से समझौता किए गए डिवाइस से अनधिकृत धन हस्तांतरण शुरू करना है। यह विधि उपयोगकर्ताओं की पहचान सत्यापित करने और व्यवहार विश्लेषण के माध्यम से असामान्य लेनदेन पैटर्न का पता लगाने के लिए डिज़ाइन किए गए बैंक सुरक्षा उपायों से बचने का प्रयास करती है।
शोधकर्ताओं का मानना है कि टॉक्सिकपांडा की उत्पत्ति चीनी भाषी खतरे वाले अभिनेता से हुई है। मैलवेयर में TgToxic से उल्लेखनीय समानताएँ हैं, जो 2023 की शुरुआत में पहचाना गया एक और Android मैलवेयर है। TgToxic क्रिप्टोक्यूरेंसी वॉलेट से क्रेडेंशियल और फंड चुराने में सक्षम है।
विषयसूची
टॉक्सिकपांडा ने विभिन्न देशों को लक्ष्य बनाया
संक्रमण के ज़्यादातर मामले इटली (56.8%) में देखे गए हैं, उसके बाद पुर्तगाल (18.7%), हांगकांग (4.6%), स्पेन (3.9%) और पेरू (3.4%) का स्थान है। यह एक असामान्य मामला है जहाँ एक चीनी ख़तरा अभिनेता ने यूरोप और लैटिन अमेरिका दोनों में खुदरा बैंकिंग उपयोगकर्ताओं को निशाना बनाया है।
यह बैंकिंग ट्रोजन अपने शुरुआती चरण में प्रतीत होता है, विश्लेषण से पता चलता है कि यह अपने पूर्ववर्ती का एक छोटा संस्करण है। ऑटोमेटिक ट्रांसफर सिस्टम (एटीएस), ईजीक्लिक और ऑबफस्केशन रूटीन जैसी प्रमुख विशेषताओं को हटा दिया गया है, जबकि डेटा की व्यापक रेंज निकालने के लिए 33 नए कमांड जोड़े गए हैं।
इसके अलावा, TgToxic और ToxicPanda के बीच 61 कमांड साझा किए गए हैं, जो यह सुझाव देते हैं कि इस मैलवेयर परिवार के पीछे एक ही खतरा पैदा करने वाला या करीबी सहयोगी होने की संभावना है। हालाँकि ToxicPanda में TgToxic परिवार के साथ कुछ बॉट कमांड समानताएँ हैं, लेकिन इसका कोड काफी हद तक अलग है। TgToxic के कई विशिष्ट फ़ंक्शन गायब हैं, और कुछ कमांड बिना किसी वास्तविक कार्यक्षमता के प्लेसहोल्डर प्रतीत होते हैं।
टॉक्सिकपांडा बैंकिंग ट्रोजन कैसे काम करता है?
मैलवेयर खुद को Google Chrome, Visa और 99 Speedmart जैसे जाने-माने एप्लिकेशन के रूप में छिपाता है, और नकली वेबसाइटों के माध्यम से वितरित किया जाता है जो वैध ऐप स्टोर लिस्टिंग की नकल करते हैं। यह स्पष्ट नहीं है कि इन लिंक को कैसे साझा किया जा रहा है या इसमें मालवर्टाइजिंग या स्मिशिंग जैसी तकनीकें शामिल हैं या नहीं।
साइडलोडिंग के ज़रिए इंस्टॉल होने के बाद, टॉक्सिकपांडा उन्नत अनुमतियाँ प्राप्त करने, उपयोगकर्ता इनपुट को स्वचालित करने और अन्य एप्लिकेशन से डेटा कैप्चर करने के लिए एंड्रॉइड की एक्सेसिबिलिटी सेवाओं का फ़ायदा उठाता है। यह एसएमएस या प्रमाणक ऐप के ज़रिए भेजे गए वन-टाइम पासवर्ड (OTP) को इंटरसेप्ट कर सकता है, जिससे हमलावर दो-कारक प्रमाणीकरण (2FA) को बायपास कर सकते हैं और अनधिकृत लेनदेन को पूरा कर सकते हैं।
डेटा संग्रहण के अलावा, मैलवेयर का प्राथमिक कार्य हमलावरों को संक्रमित डिवाइस को दूर से नियंत्रित करने और डिवाइस पर धोखाधड़ी (ओडीएफ) को अंजाम देने में सक्षम बनाता है, जिससे पीड़ित की जानकारी के बिना अनधिकृत धन हस्तांतरण की सुविधा मिलती है।
शोधकर्ताओं ने बताया कि उन्होंने टॉक्सिकपांडा के कमांड-एंड-कंट्रोल (C2) पैनल को एक्सेस किया। इस चीनी भाषा के इंटरफ़ेस में, ऑपरेटर संक्रमित डिवाइस की सूची देख सकते हैं, जिसमें मॉडल और स्थान विवरण शामिल हैं, और उन्हें बॉटनेट से हटा भी सकते हैं। पैनल ऑपरेटरों को ODF गतिविधियों को निष्पादित करने के लिए डिवाइस तक वास्तविक समय में रिमोट एक्सेस का अनुरोध करने में भी सक्षम बनाता है।
टॉक्सिकपांडा साइबर अपराधियों द्वारा प्रारंभिक विकास में हो सकता है
टॉक्सिकपांडा ने अभी तक अधिक परिष्कृत या विशिष्ट क्षमताएँ प्रदर्शित नहीं की हैं जो इसके विश्लेषण को और अधिक चुनौतीपूर्ण बना देंगी। हालाँकि, लॉगिंग डेटा, अप्रयुक्त कोड और डिबगिंग फ़ाइलों जैसे तत्व संकेत देते हैं कि मैलवेयर या तो विकास के शुरुआती चरणों में हो सकता है या महत्वपूर्ण कोड रिफैक्टरिंग से गुजर रहा हो सकता है, विशेष रूप से TGToxic के साथ इसकी समानताओं को देखते हुए।
