ToxicPanda Mobile Malware
Az Android banki rosszindulatú programjának új törzse, a ToxicPanda több mint 1500 Android-eszközt fertőzött meg, lehetővé téve a kiberbűnözők számára, hogy csalárd banki tranzakciókat hajtsanak végre. A ToxicPanda elsődleges célja, hogy feltört eszközökről jogosulatlan pénzátutalásokat kezdeményezzen fiókátvételen (ATO) keresztül, az eszközön belüli csalásnak (ODF) ismert technikával. Ez a módszer arra törekszik, hogy elkerülje a banki biztonsági intézkedéseket, amelyek célja a felhasználók személyazonosságának ellenőrzése és a szokatlan tranzakciós minták viselkedéselemzés útján történő észlelése.
A kutatók úgy vélik, hogy a ToxicPanda egy kínaiul beszélő fenyegető szereplőtől származik. A rosszindulatú program jelentős hasonlóságot mutat a TgToxichoz , egy másik androidos kártevőhöz, amelyet 2023 elején azonosítottak. A TgToxic képes hitelesítő adatokat és pénzeszközöket ellopni kriptovaluta pénztárcákból.
Tartalomjegyzék
A ToxicPanda sokféle országot céloz meg
A legtöbb fertőzést Olaszországban (56,8%) figyelték meg, ezt követi Portugália (18,7%), Hongkong (4,6%), Spanyolország (3,9%) és Peru (3,4%). Ez egy szokatlan eset, amikor egy kínai fenyegetettség szereplő lakossági banki felhasználókat céloz meg Európában és Latin-Amerikában egyaránt.
Úgy tűnik, hogy ez a banki trójai a korai szakaszában jár, és az elemzés szerint elődjének lecsökkent változata. Az olyan kulcsfontosságú funkciókat, mint az automatikus átviteli rendszer (ATS), az Easyclick és az obfuszkációs rutinok eltávolították, míg 33 új parancsot adtak hozzá az adatok szélesebb körének kinyeréséhez.
Ezenkívül 61 parancsot osztanak meg a TgToxic és a ToxicPanda, ami arra utal, hogy valószínűleg ugyanaz a fenyegetés szereplője vagy közeli munkatársai állnak a rosszindulatú programcsalád mögött. Bár a ToxicPanda megőriz néhány botparancs hasonlóságot a TgToxic családdal, kódja jelentősen eltér. Számos, a TgToxicra jellemző funkció hiányzik, és egyes parancsok helyőrzőnek tűnnek, és nincs tényleges funkcionalitásuk.
Hogyan működik a ToxicPanda Banking trójai?
A rosszindulatú program olyan jól ismert alkalmazásoknak álcázza magát, mint a Google Chrome, a Visa és a 99 Speedmart, amelyeket hamis webhelyeken terjesztenek, amelyek törvényes alkalmazásbolti bejegyzéseket imitálnak. Továbbra sem világos, hogyan osztják meg ezeket a linkeket, vagy hogy olyan technikákról van-e szó, mint a rosszindulatú reklámozás vagy az elrontás.
Az oldalbetöltéssel történő telepítés után a ToxicPanda kihasználja az Android akadálymentesítési szolgáltatásait, hogy magasabb szintű jogosultságokat szerezzen, automatizálja a felhasználói beviteleket, és adatokat gyűjtsön más alkalmazásokból. Elfoghatja az SMS-ben vagy hitelesítő alkalmazásokban küldött egyszeri jelszavakat (OTP), lehetővé téve a támadók számára a kéttényezős hitelesítés (2FA) megkerülését és jogosulatlan tranzakciók végrehajtását.
Az adatgyűjtésen túl a rosszindulatú program elsődleges funkciója lehetővé teszi a támadók számára, hogy távolról irányítsák a feltört eszközt, és eszközön belüli csalást (ODF) hajtsanak végre, megkönnyítve a jogosulatlan pénzátutalásokat az áldozat figyelme nélkül.
A kutatók arról számoltak be, hogy hozzáfértek a ToxicPanda Command-and-Control (C2) paneljéhez. Ezen a kínai nyelvű felületen az üzemeltetők megtekinthetik a fertőzött eszközök listáját, beleértve a modell- és helyadatokat, és akár eltávolíthatják is őket a botnetről. A panel lehetővé teszi a kezelők számára, hogy valós idejű távoli hozzáférést kérjenek az eszközökhöz az ODF tevékenységek végrehajtásához.
A ToxicPanda a kiberbűnözők korai fejlesztésében lehet
A ToxicPanda még nem mutatott ki kifinomultabb vagy jellegzetesebb képességeket, amelyek nagyobb kihívást jelentenének az elemzésében. Azonban az olyan elemek, mint a naplózási adatok, a fel nem használt kód és a hibakereső fájlok, azt jelzik, hogy a rosszindulatú program vagy a fejlesztés korai szakaszában van, vagy jelentős kódátalakításon megy keresztül, különösen a TGToxichoz való hasonlósága miatt.
