ToxicPanda Mobile ļaunprātīga programmatūra
Jauns Android banku ļaunprogrammatūras paveids, kas nodēvēts par ToxicPanda, ir inficējis vairāk nekā 1500 Android ierīču, ļaujot kibernoziedzniekiem veikt krāpnieciskus banku darījumus. ToxicPanda galvenais mērķis ir uzsākt neatļautus naudas pārskaitījumus no apdraudētām ierīcēm, izmantojot konta pārņemšanu (ATO), izmantojot paņēmienu, kas pazīstams kā krāpšana ierīcē (ODF). Šīs metodes mērķis ir izvairīties no banku drošības pasākumiem, kas paredzēti, lai pārbaudītu lietotāju identitāti un atklātu neparastus darījumu modeļus, izmantojot uzvedības analīzi.
Pētnieki uzskata, ka ToxicPanda cēlies no ķīniešu valodā runājoša draudu aktiera. Ļaunprātīgajai programmatūrai ir ievērojamas līdzības ar TgToxic — citu Android ļaunprātīgu programmatūru, kas tika identificēta 2023. gada sākumā. TgToxic spēj nozagt akreditācijas datus un līdzekļus no kriptovalūtas makiem.
Satura rādītājs
ToxicPanda mērķauditorija ir dažādas valstis
Lielākā daļa infekciju ir novērotas Itālijā (56,8%), kam seko Portugāle (18,7%), Honkonga (4,6%), Spānija (3,9%) un Peru (3,4%). Šis ir neparasts gadījums, kad Ķīnas draudu aktieris ir mērķējis uz mazumtirdzniecības banku lietotājiem gan Eiropā, gan Latīņamerikā.
Šķiet, ka šis banku Trojas zirgs ir agrīnā stadijā, un analīze atklāj, ka tas ir tā priekšgājēja samazināta versija. Galvenās funkcijas, piemēram, automātiskās pārsūtīšanas sistēma (ATS), Easyclick un apmulsināšanas rutīnas, ir noņemtas, savukārt ir pievienotas 33 jaunas komandas, lai iegūtu plašāku datu klāstu.
Turklāt starp TgToxic un ToxicPanda tiek koplietota 61 komanda, kas liecina, ka aiz šīs ļaunprātīgās programmatūras saimes, iespējams, ir viens un tas pats apdraudējuma dalībnieks vai tuvi partneri. Lai gan ToxicPanda saglabā dažas robotu komandu līdzības ar TgToxic saimi, tās kods ievērojami atšķiras. Trūkst vairāku TgToxic raksturīgo funkciju, un dažas komandas, šķiet, ir vietturi bez faktiskas funkcionalitātes.
Kā darbojas ToxicPanda Banking Trojas zirgs?
Ļaunprātīga programmatūra tiek maskēta kā labi zināmas lietojumprogrammas, piemēram, Google Chrome, Visa un 99 Speedmart, kas tiek izplatītas viltotās vietnēs, kas imitē likumīgus lietotņu veikala ierakstus. Joprojām nav skaidrs, kā šīs saites tiek kopīgotas un vai ir iesaistītas tādas metodes kā ļaunprātīga reklamēšana vai iznīcināšana.
Pēc instalēšanas, izmantojot sānu ielādi, ToxicPanda izmanto Android pieejamības pakalpojumus, lai iegūtu paaugstinātas atļaujas, automatizētu lietotāja ievadi un tvertu datus no citām lietojumprogrammām. Tas var pārtvert vienreizējās paroles (OTP), kas nosūtītas, izmantojot SMS vai autentifikācijas lietotnes, ļaujot uzbrucējiem apiet divu faktoru autentifikāciju (2FA) un pabeigt nesankcionētus darījumus.
Papildus datu apkopošanai ļaunprogrammatūras galvenā funkcija ļauj uzbrucējiem attālināti kontrolēt uzlauzto ierīci un veikt krāpšanu ierīcē (ODF), veicinot nesankcionētu naudas pārskaitījumu, cietušajam neapzinoties.
Pētnieki ziņo, ka viņi ir piekļuvuši ToxicPanda Command-and-Control (C2) panelim. Šajā ķīniešu valodas saskarnē operatori var skatīt inficēto ierīču sarakstu, tostarp informāciju par modeli un atrašanās vietu, un pat noņemt tās no robottīkla. Panelis arī ļauj operatoriem pieprasīt reāllaika attālo piekļuvi ierīcēm, lai veiktu ODF darbības.
ToxicPanda, iespējams, ir agrīnā izstrādes stadijā, ko veic kibernoziedznieki
ToxicPanda vēl ir jāparāda sarežģītākas vai atšķirīgas iespējas, kas padarītu tās analīzi grūtāku. Tomēr tādi elementi kā reģistrēšanas dati, neizmantots kods un atkļūdošanas faili norāda, ka ļaunprogrammatūra varētu būt attīstības sākumposmā vai tajā var tikt veikta nozīmīga koda pārveidošana, īpaši ņemot vērā tās līdzības ar TGToxic.
