ToxicPanda Mobile kenkėjiška programa
Nauja „Android“ bankininkystės kenkėjiškos programinės įrangos atmaina, pavadinta ToxicPanda, užkrėtė daugiau nei 1500 „Android“ įrenginių, todėl kibernetiniai nusikaltėliai gali atlikti nesąžiningas banko operacijas. Pagrindinis ToxicPanda tikslas yra inicijuoti neteisėtus pinigų pervedimus iš pažeistų įrenginių per sąskaitos perėmimą (ATO), naudojant techniką, vadinamą sukčiavimu įrenginyje (ODF). Šiuo metodu siekiama išvengti banko saugumo priemonių, skirtų patikrinti vartotojų tapatybę ir aptikti neįprastus operacijų modelius atliekant elgesio analizę.
Tyrėjai mano, kad ToxicPanda kilęs iš kiniškai kalbančio grėsmės veikėjo. Kenkėjiška programa turi daug panašumų su TgToxic , kita Android kenkėjiška programa, nustatyta 2023 m. pradžioje. TgToxic gali pavogti kredencialus ir lėšas iš kriptovaliutų piniginių.
Turinys
„ToxicPanda“ skirta įvairioms šalims
Daugiausia užsikrėtusiųjų buvo Italijoje (56,8 %), po to – Portugalijoje (18,7 %), Honkonge (4,6 %), Ispanijoje (3,9 %) ir Peru (3,4 %). Tai neįprastas atvejis, kai Kinijos grėsmės veikėjas nusitaikė į mažmeninės bankininkystės vartotojus tiek Europoje, tiek Lotynų Amerikoje.
Panašu, kad šis bankinis Trojos arklys yra ankstyvoje stadijoje, o analizė atskleidė, kad jis yra sumažinta pirmtako versija. Pagrindinės funkcijos, tokios kaip automatinio perdavimo sistema (ATS), „Easyclick“ ir užmaskavimo tvarka, buvo pašalintos, o buvo pridėtos 33 naujos komandos, leidžiančios išgauti didesnį duomenų spektrą.
Be to, TgToxic ir ToxicPanda dalijasi 61 komanda, o tai rodo, kad už šios kenkėjiškų programų šeimos greičiausiai slypi tas pats grėsmės veikėjas arba artimi partneriai. Nors ToxicPanda išlaiko kai kuriuos robotų komandų panašumus su TgToxic šeima, jos kodas labai skiriasi. Trūksta kelių „TgToxic“ būdingų funkcijų, o kai kurios komandos atrodo kaip vietos rezervuarai, neturintys jokių faktinių funkcijų.
Kaip veikia ToxicPanda Banking Trojos arklys?
Kenkėjiška programa užmaskuojama kaip gerai žinomos programos, pvz., „Google Chrome“, „Visa“ ir „99 Speedmart“, platinamos netikrose svetainėse, kurios imituoja teisėtus programų parduotuvių sąrašus. Lieka neaišku, kaip dalijamasi šiomis nuorodomis, ar naudojami tokie metodai kaip netinkamas reklamavimas ar sugadinimas.
Įdiegta naudojant šoninį įkėlimą, „ToxicPanda“ išnaudoja „Android“ pritaikymo neįgaliesiems paslaugas, kad gautų didesnius leidimus, automatizuotų naudotojų įvestis ir gautų duomenis iš kitų programų. Jis gali perimti vienkartinius slaptažodžius (OTP), siunčiamus SMS žinutėmis arba autentifikavimo programomis, todėl užpuolikai gali apeiti dviejų veiksnių autentifikavimą (2FA) ir atlikti neteisėtas operacijas.
Be duomenų rinkimo, pagrindinė kenkėjiškos programos funkcija leidžia užpuolikams nuotoliniu būdu valdyti pažeistą įrenginį ir vykdyti sukčiavimą įrenginyje (ODF), taip palengvinant neteisėtus pinigų pervedimus aukos nežinant.
Tyrėjai praneša, kad jie pasiekė „ToxicPanda“ komandų ir valdymo (C2) skydelį. Šioje kinų kalbos sąsajoje operatoriai gali peržiūrėti užkrėstų įrenginių sąrašą, įskaitant modelio ir vietos informaciją, ir netgi pašalinti juos iš robotų tinklo. Skydelis taip pat leidžia operatoriams prašyti realiojo laiko nuotolinės prieigos prie įrenginių, kad galėtų atlikti ODF veiklą.
„ToxicPanda“ gali būti pradiniame kibernetinių nusikaltėlių kūrimo etape
ToxicPanda dar turi parodyti sudėtingesnių ar išskirtinių galimybių, dėl kurių jos analizė taptų sudėtingesnė. Tačiau tokie elementai kaip registravimo duomenys, nenaudojamas kodas ir derinimo failai rodo, kad kenkėjiška programa gali būti ankstyvoje kūrimo stadijoje arba jai gali būti atliktas reikšmingas kodo pertvarkymas, ypač atsižvelgiant į jos panašumus į TGToxic.
