ToxicPanda Mobile Malware
Nova vrsta zlonamjernog softvera za bankarstvo za Android, nazvana ToxicPanda, zarazila je više od 1500 Android uređaja, omogućujući cyber kriminalcima izvođenje lažnih bankovnih transakcija. Primarni cilj ToxicPande je pokrenuti neovlaštene prijenose novca s kompromitiranih uređaja putem preuzimanja računa (ATO) korištenjem tehnike poznate kao prijevara na uređaju (ODF). Ova metoda nastoji izbjeći sigurnosne mjere banke osmišljene za provjeru identiteta korisnika i otkrivanje neobičnih obrazaca transakcija putem analize ponašanja.
Istraživači vjeruju da ToxicPanda potječe od glumca prijetnje koji govori kineski. Zlonamjerni softver ima značajne sličnosti s TgToxic-om , još jednim zlonamjernim softverom za Android identificiranim početkom 2023. TgToxic je sposoban ukrasti vjerodajnice i sredstva iz novčanika za kriptovalute.
Sadržaj
ToxicPanda cilja na različite zemlje
Većina infekcija zabilježena je u Italiji (56,8%), zatim u Portugalu (18,7%), Hong Kongu (4,6%), Španjolskoj (3,9%) i Peruu (3,4%). Ovo je neobičan slučaj u kojem je kineski akter prijetnje ciljao na korisnike bankarskog poslovanja sa stanovništvom u Europi i Latinskoj Americi.
Čini se da je ovaj bankarski trojanac u ranoj fazi, a analiza ga otkriva kao smanjenu verziju svog prethodnika. Ključne značajke poput Automatic Transfer System (ATS), Easyclick i rutine zamagljivanja su uklonjene, dok su 33 nove naredbe dodane za izdvajanje šireg raspona podataka.
Nadalje, TgToxic i ToxicPanda dijele 61 naredbu, što sugerira da isti akter prijetnje ili bliski suradnici vjerojatno stoje iza ove obitelji malwarea. Iako ToxicPanda zadržava neke sličnosti s naredbama bota s obitelji TgToxic, njegov kod značajno odstupa. Nekoliko funkcija tipičnih za TgToxic nedostaje, a neke naredbe izgledaju kao rezervirana mjesta bez stvarne funkcionalnosti.
Kako funkcionira bankarski trojanac ToxicPanda?
Zlonamjerni se softver prerušava u dobro poznate aplikacije kao što su Google Chrome, Visa i 99 Speedmart, distribuirane preko lažnih web stranica koje oponašaju legitimne unose u trgovinama aplikacija. Ostaje nejasno kako se te veze dijele ili jesu li uključene tehnike kao što su zlonamjerno oglašavanje ili ismijavanje.
Jednom instaliran putem bočnog učitavanja, ToxicPanda iskorištava Androidove usluge pristupačnosti za dobivanje povišenih dopuštenja, automatiziranje korisničkih unosa i snimanje podataka iz drugih aplikacija. Može presresti jednokratne lozinke (OTP) poslane putem SMS-a ili aplikacija za autentifikaciju, omogućujući napadačima da zaobiđu dvofaktorsku autentifikaciju (2FA) i dovrše neovlaštene transakcije.
Osim prikupljanja podataka, primarna funkcija zlonamjernog softvera omogućuje napadačima da daljinski kontroliraju kompromitirani uređaj i izvrše prijevaru na uređaju (ODF), omogućujući neovlaštene prijenose novca bez svijesti žrtve.
Istraživači su izvijestili da su pristupili ToxicPandinom panelu Command-and-Control (C2). U ovom sučelju na kineskom jeziku operateri mogu vidjeti popis zaraženih uređaja, uključujući pojedinosti o modelu i lokaciji, pa čak i ukloniti ih s botneta. Panel također omogućuje operaterima da zatraže udaljeni pristup uređajima u stvarnom vremenu za izvršavanje ODF aktivnosti.
ToxicPanda je možda u ranom razvoju kibernetičkih kriminalaca
ToxicPanda tek treba pokazati sofisticiranije ili karakterističnije mogućnosti koje bi njezinu analizu učinile još izazovnijom. Međutim, elementi kao što su podaci o zapisivanju, neiskorišteni kod i datoteke za otklanjanje pogrešaka ukazuju na to da bi zlonamjerni softver mogao biti u ranim fazama razvoja ili da prolazi kroz značajnu refaktorizaciju koda, posebno s obzirom na njegove sličnosti s TGToxic.
