មេរោគ ToxicPanda Mobile

មេរោគថ្មីរបស់ធនាគារ Android ដែលមានឈ្មោះថា ToxicPanda បានឆ្លងមេរោគលើឧបករណ៍ Android ជាង 1,500 ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចធ្វើប្រតិបត្តិការធនាគារក្លែងក្លាយ។ គោលបំណងចម្បងរបស់ ToxicPanda គឺដើម្បីផ្តួចផ្តើមការផ្ទេរប្រាក់ដោយគ្មានការអនុញ្ញាតពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួលតាមរយៈការកាន់កាប់គណនី (ATO) ដោយប្រើបច្ចេកទេសដែលគេស្គាល់ថាជាការក្លែងបន្លំនៅលើឧបករណ៍ (ODF)។ វិធីសាស្រ្តនេះស្វែងរកការគេចវេសពីវិធានការសុវត្ថិភាពធនាគារដែលត្រូវបានរចនាឡើងដើម្បីផ្ទៀងផ្ទាត់អត្តសញ្ញាណរបស់អ្នកប្រើប្រាស់ និងរកឃើញគំរូប្រតិបត្តិការមិនធម្មតាតាមរយៈការវិភាគអាកប្បកិរិយា។

អ្នកស្រាវជ្រាវជឿថា ToxicPanda មានប្រភពមកពីអ្នកគំរាមកំហែងនិយាយភាសាចិន។ មេរោគនេះមានភាពស្រដៀងគ្នាគួរឱ្យកត់សម្គាល់ទៅនឹង TgToxic ដែលជាមេរោគ Android មួយផ្សេងទៀតដែលត្រូវបានរកឃើញនៅដើមឆ្នាំ 2023 ។ TgToxic មានសមត្ថភាពក្នុងការលួចព័ត៌មានសម្ងាត់ និងមូលនិធិពីកាបូប cryptocurrency ។

ToxicPanda កំណត់គោលដៅចម្រុះនៃប្រទេស

ការឆ្លងភាគច្រើនត្រូវបានគេសង្កេតឃើញនៅក្នុងប្រទេសអ៊ីតាលី (56.8%) បន្ទាប់មកព័រទុយហ្គាល់ (18.7%) ហុងកុង (4.6%) អេស្ប៉ាញ (3.9%) និងប៉េរូ (3.4%) ។ នេះគឺជាករណីមិនធម្មតាមួយ ដែលតួអង្គគម្រាមកំហែងរបស់ចិនបានកំណត់គោលដៅអ្នកប្រើប្រាស់ធនាគារលក់រាយទាំងនៅអឺរ៉ុប និងអាមេរិកឡាទីន។

Trojan របស់ធនាគារនេះហាក់ដូចជាស្ថិតក្នុងដំណាក់កាលដំបូងរបស់វា ដោយការវិភាគបង្ហាញថាវាជាកំណែដែលបានចុះក្រោមនៃជំនាន់មុនរបស់វា។ មុខងារសំខាន់ៗដូចជា ប្រព័ន្ធផ្ទេរប្រាក់ដោយស្វ័យប្រវត្តិ (ATS), Easyclick, និងទម្លាប់នៃការរំខានត្រូវបានដកចេញ ខណៈដែលពាក្យបញ្ជាថ្មីចំនួន 33 ត្រូវបានបន្ថែមដើម្បីទាញយកជួរទិន្នន័យដ៏ទូលំទូលាយ។

លើសពីនេះ ពាក្យបញ្ជាចំនួន 61 ត្រូវបានចែករំលែករវាង TgToxic និង ToxicPanda ដែលបង្ហាញថា តួអង្គគំរាមកំហែងដូចគ្នា ឬសហការីជិតស្និទ្ធទំនងជានៅពីក្រោយគ្រួសារមេរោគនេះ។ ទោះបីជា ToxicPanda រក្សាភាពស្រដៀងគ្នានៃពាក្យបញ្ជា bot មួយចំនួនជាមួយគ្រួសារ TgToxic ក៏ដោយ កូដរបស់វាខុសគ្នាយ៉ាងខ្លាំង។ មុខងារជាច្រើនធម្មតារបស់ TgToxic ត្រូវបានបាត់ ហើយពាក្យបញ្ជាមួយចំនួនហាក់ដូចជាកន្លែងដាក់ដោយគ្មានមុខងារជាក់ស្តែង។

តើ ToxicPanda Banking Trojan ដំណើរការយ៉ាងដូចម្តេច?

មេរោគនេះបន្លំខ្លួនជាកម្មវិធីល្បីដូចជា Google Chrome, Visa, និង 99 Speedmart ដែលចែកចាយតាមគេហទំព័រក្លែងក្លាយដែលធ្វើត្រាប់តាមបញ្ជីឈ្មោះហាងកម្មវិធីស្របច្បាប់។ វានៅតែមិនច្បាស់អំពីរបៀបដែលតំណភ្ជាប់ទាំងនេះត្រូវបានចែករំលែក ឬប្រសិនបើបច្ចេកទេសដូចជាការផ្សាយពាណិជ្ជកម្មមិនពិត ឬការញញឹមត្រូវបានពាក់ព័ន្ធ។

នៅពេលដំឡើងតាមរយៈការផ្ទុកចំហៀង ToxicPanda ទាញយកសេវាកម្មភាពងាយស្រួលរបស់ Android ដើម្បីទទួលបានការអនុញ្ញាតខ្ពស់ ធ្វើឱ្យការបញ្ចូលរបស់អ្នកប្រើប្រាស់ដោយស្វ័យប្រវត្តិ និងចាប់យកទិន្នន័យពីកម្មវិធីផ្សេងទៀត។ វាអាចស្ទាក់ចាប់ពាក្យសម្ងាត់តែម្តង (OTP) ដែលផ្ញើតាមរយៈសារ SMS ឬកម្មវិធីផ្ទៀងផ្ទាត់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់ការផ្ទៀងផ្ទាត់ពីរកត្តា (2FA) និងបំពេញប្រតិបត្តិការដែលគ្មានការអនុញ្ញាត។

លើសពីការប្រមូលទិន្នន័យ មុខងារចម្បងរបស់មេរោគអាចឱ្យអ្នកវាយប្រហារគ្រប់គ្រងឧបករណ៍ដែលត្រូវបានសម្របសម្រួលពីចម្ងាយ និងដំណើរការការក្លែងបន្លំនៅលើឧបករណ៍ (ODF) ដែលសម្របសម្រួលការផ្ទេរប្រាក់ដែលគ្មានការអនុញ្ញាតដោយមិនចាំបាច់ដឹងពីជនរងគ្រោះ។

អ្នកស្រាវជ្រាវរាយការណ៍ថាពួកគេបានចូលប្រើបន្ទះ Command-and-Control (C2) របស់ ToxicPanda ។ នៅក្នុងចំណុចប្រទាក់ជាភាសាចិននេះ ប្រតិបត្តិករអាចមើលបញ្ជីឧបករណ៍ដែលមានមេរោគ រួមទាំងព័ត៌មានលម្អិតអំពីម៉ូដែល និងទីតាំង ហើយថែមទាំងលុបវាចេញពី botnet ទៀតផង។ បន្ទះនេះក៏អនុញ្ញាតឱ្យប្រតិបត្តិករស្នើសុំការចូលប្រើពីចម្ងាយក្នុងពេលវេលាជាក់ស្តែងទៅកាន់ឧបករណ៍ដើម្បីប្រតិបត្តិសកម្មភាព ODF ។

ToxicPanda អាចស្ថិតនៅក្នុងការអភិវឌ្ឍន៍ដំបូងដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត

ToxicPanda មិនទាន់បង្ហាញសមត្ថភាពស្មុគ្រស្មាញ ឬប្លែកជាងមុន ដែលនឹងធ្វើឱ្យការវិភាគរបស់វាកាន់តែពិបាក។ ទោះជាយ៉ាងណាក៏ដោយ ធាតុដូចជាការកត់ត្រាទិន្នន័យ កូដដែលមិនបានប្រើ និងឯកសារបំបាត់កំហុសបង្ហាញថាមេរោគអាចស្ថិតក្នុងដំណាក់កាលដំបូងនៃការអភិវឌ្ឍន៍ ឬកំពុងស្ថិតក្រោមការកែកូដសំខាន់ៗ ជាពិសេសពិចារណាពីភាពស្រដៀងគ្នារបស់វាទៅនឹង TGToxic។