ToxicPanda 모바일 맬웨어

ToxicPanda라는 이름의 새로운 안드로이드 뱅킹 맬웨어가 1,500대 이상의 안드로이드 기기를 감염시켜 사이버 범죄자들이 사기성 은행 거래를 수행할 수 있게 되었습니다. ToxicPanda의 주요 목적은 기기 내 사기(ODF)라는 기술을 사용하여 계정 인수(ATO)를 통해 손상된 기기에서 무단 송금을 시작하는 것입니다. 이 방법은 사용자의 신원을 확인하고 행동 분석을 통해 비정상적인 거래 패턴을 감지하도록 설계된 은행 보안 조치를 회피하려고 합니다.

연구자들은 ToxicPanda가 중국어를 구사하는 위협 행위자에서 유래했다고 믿습니다. 이 맬웨어는 2023년 초에 확인된 또 다른 안드로이드 맬웨어인 TgToxic 과 눈에 띄는 유사점을 가지고 있습니다. TgToxic은 암호화폐 지갑에서 자격 증명과 자금을 훔칠 수 있습니다.

ToxicPanda는 다양한 국가를 타겟으로 합니다

감염의 대부분은 이탈리아(56.8%)에서 관찰되었고, 그 다음으로 포르투갈(18.7%), 홍콩(4.6%), 스페인(3.9%), 페루(3.4%) 순이었습니다. 이는 중국 위협 행위자가 유럽과 라틴 아메리카의 리테일 뱅킹 사용자를 표적으로 삼은 이례적인 사례입니다.

이 뱅킹 트로이 목마는 초기 단계에 있는 것으로 보이며, 분석 결과 이전 버전의 축소판으로 밝혀졌습니다. ATS(자동 이체 시스템), Easyclick, 난독화 루틴과 같은 주요 기능은 제거되었고, 더 광범위한 데이터를 추출하기 위해 33개의 새로운 명령이 추가되었습니다.

게다가 TgToxic과 ToxicPanda는 61개의 명령을 공유하는데, 이는 같은 위협 행위자나 가까운 동료가 이 맬웨어 패밀리 뒤에 있을 가능성이 있음을 시사합니다. ToxicPanda는 TgToxic 패밀리와 일부 봇 명령 유사성을 유지하지만, 코드는 상당히 다릅니다. TgToxic의 전형적인 여러 기능이 누락되었고, 일부 명령은 실제 기능이 없는 플레이스홀더인 듯합니다.

ToxicPanda 뱅킹 트로이 목마는 어떻게 작동하나요?

이 맬웨어는 Google Chrome, Visa, 99 Speedmart와 같은 잘 알려진 애플리케이션으로 위장하여 합법적인 앱 스토어 목록을 모방한 가짜 웹사이트를 통해 배포됩니다. 이러한 링크가 어떻게 공유되는지 또는 멀버타이징이나 스미싱과 같은 기술이 관련되어 있는지는 불분명합니다.

사이드로딩을 통해 설치되면 ToxicPanda는 Android의 접근성 서비스를 활용하여 높은 권한을 얻고, 사용자 입력을 자동화하고, 다른 애플리케이션에서 데이터를 캡처합니다. SMS 또는 인증 앱을 통해 전송된 일회용 비밀번호(OTP)를 가로채 공격자가 2단계 인증(2FA)을 우회하고 승인되지 않은 거래를 완료할 수 있습니다.

데이터 수집 외에도, 맬웨어의 주요 기능은 공격자가 손상된 기기를 원격으로 제어하고 기기 내 사기(ODF)를 실행해 피해자가 알지 못하는 사이에 승인되지 않은 자금 이체를 용이하게 하는 것입니다.

연구자들은 ToxicPanda의 명령 및 제어(C2) 패널에 접근했다고 보고했습니다. 이 중국어 인터페이스에서 운영자는 모델 및 위치 세부 정보를 포함한 감염된 장치 목록을 보고 봇넷에서 제거할 수도 있습니다. 이 패널을 통해 운영자는 ODF 활동을 실행하기 위해 장치에 대한 실시간 원격 액세스를 요청할 수도 있습니다.

ToxicPanda는 사이버 범죄자들에 의해 초기 개발 단계에 있을 수 있습니다.

ToxicPanda는 아직 분석을 더 어렵게 만드는 더 정교하거나 독특한 기능을 보여주지 않았습니다. 그러나 로깅 데이터, 사용되지 않은 코드, 디버깅 파일과 같은 요소는 맬웨어가 개발 초기 단계에 있거나 상당한 코드 리팩토링을 거치고 있을 수 있음을 나타냅니다. 특히 TGToxic과의 유사성을 고려할 때 더욱 그렇습니다.