Perisian Hasad Mudah Alih ToxicPanda
Jenis baru perisian hasad perbankan Android, yang digelar ToxicPanda, telah menjangkiti lebih 1,500 peranti Android, membolehkan penjenayah siber menjalankan transaksi perbankan penipuan. Objektif utama ToxicPanda adalah untuk memulakan pemindahan wang tanpa kebenaran daripada peranti yang terjejas melalui pengambilalihan akaun (ATO) menggunakan teknik yang dikenali sebagai penipuan pada peranti (ODF). Kaedah ini bertujuan untuk mengelak langkah keselamatan bank yang direka bentuk untuk mengesahkan identiti pengguna dan mengesan corak transaksi luar biasa melalui analisis tingkah laku.
Penyelidik percaya bahawa ToxicPanda berasal daripada pelakon ancaman berbahasa Cina. Malware ini mempunyai persamaan ketara dengan TgToxic , satu lagi perisian hasad Android yang dikenal pasti pada awal tahun 2023. TgToxic mampu mencuri bukti kelayakan dan dana daripada dompet mata wang kripto.
Isi kandungan
ToxicPanda Sasar Set Pelbagai Negara
Majoriti jangkitan telah diperhatikan di Itali (56.8%), diikuti oleh Portugal (18.7%), Hong Kong (4.6%), Sepanyol (3.9%), dan Peru (3.4%). Ini adalah kes luar biasa di mana seorang aktor ancaman China telah menyasarkan pengguna perbankan runcit di Eropah dan Amerika Latin.
Trojan perbankan ini nampaknya berada di peringkat awal, dengan analisis mendedahkannya sebagai versi yang dikupas daripada pendahulunya. Ciri utama seperti Sistem Pemindahan Automatik (ATS), Easyclick dan rutin pengeliruan telah dialih keluar, manakala 33 arahan baharu telah ditambah untuk mengekstrak julat data yang lebih luas.
Tambahan pula, 61 arahan dikongsi antara TgToxic dan ToxicPanda, menunjukkan bahawa pelaku ancaman yang sama atau rakan rapat berkemungkinan berada di belakang keluarga perisian hasad ini. Walaupun ToxicPanda mengekalkan beberapa persamaan arahan bot dengan keluarga TgToxic, kodnya menyimpang dengan ketara. Beberapa fungsi tipikal TgToxic tiada, dan beberapa arahan kelihatan seperti ruang letak tanpa kefungsian sebenar.
Bagaimanakah Trojan Perbankan ToxicPanda Beroperasi?
Perisian hasad menyamar sebagai aplikasi terkenal seperti Google Chrome, Visa dan 99 Speedmart, yang diedarkan melalui tapak web palsu yang meniru penyenaraian gedung aplikasi yang sah. Masih tidak jelas bagaimana pautan ini dikongsi atau sama ada teknik seperti malvertising atau smishing terlibat.
Setelah dipasang melalui pemuatan sisi, ToxicPanda mengeksploitasi perkhidmatan kebolehaksesan Android untuk mendapatkan kebenaran yang lebih tinggi, mengautomasikan input pengguna dan menangkap data daripada aplikasi lain. Ia boleh memintas kata laluan sekali sahaja (OTP) yang dihantar melalui SMS atau apl pengesah, membenarkan penyerang memintas pengesahan dua faktor (2FA) dan menyelesaikan transaksi yang tidak dibenarkan.
Di luar pengumpulan data, fungsi utama perisian hasad membolehkan penyerang mengawal peranti yang terjejas dari jauh dan melaksanakan penipuan pada peranti (ODF), memudahkan pemindahan wang tanpa kebenaran tanpa kesedaran mangsa.
Penyelidik melaporkan bahawa mereka mengakses panel Perintah-dan-Kawalan (C2) ToxicPanda. Dalam antara muka bahasa Cina ini, pengendali boleh melihat senarai peranti yang dijangkiti, termasuk butiran model dan lokasi, malah mengeluarkannya daripada botnet. Panel ini juga membolehkan pengendali meminta akses jauh masa nyata kepada peranti untuk melaksanakan aktiviti ODF.
ToxicPanda mungkin dalam Pembangunan Awal oleh Penjenayah Siber
ToxicPanda masih belum memaparkan keupayaan yang lebih canggih atau tersendiri yang akan menjadikan analisisnya lebih mencabar. Walau bagaimanapun, elemen seperti data pengelogan, kod yang tidak digunakan dan fail penyahpepijatan menunjukkan bahawa perisian hasad boleh sama ada dalam peringkat awal pembangunan atau menjalani pemfaktoran semula kod yang ketara, terutamanya dengan mengambil kira persamaannya dengan TGToxic.
