ToxicPanda skadelig programvare for mobil
En ny stamme av Android-bankskadevare, kalt ToxicPanda, har infisert over 1500 Android-enheter, noe som gjør det mulig for nettkriminelle å utføre uredelige banktransaksjoner. ToxicPandas primære mål er å initiere uautoriserte pengeoverføringer fra kompromitterte enheter gjennom kontoovertakelse (ATO) ved å bruke en teknikk kjent som on-device fraud (ODF). Denne metoden søker å unngå banksikkerhetstiltak designet for å verifisere brukernes identitet og oppdage uvanlige transaksjonsmønstre gjennom atferdsanalyse.
Forskere mener at ToxicPanda stammer fra en kinesisktalende trusselaktør. Skadevaren har bemerkelsesverdige likheter med TgToxic , en annen Android-skadevare identifisert tidlig i 2023. TgToxic er i stand til å stjele legitimasjon og midler fra kryptovaluta-lommebøker.
Innholdsfortegnelse
ToxicPanda retter seg mot et mangfoldig sett med land
Flertallet av infeksjonene er observert i Italia (56,8 %), fulgt av Portugal (18,7 %), Hong Kong (4,6 %), Spania (3,9 %) og Peru (3,4 %). Dette er et uvanlig tilfelle der en kinesisk trusselaktør har rettet mot privatkundebrukere i både Europa og Latin-Amerika.
Denne banktrojaneren ser ut til å være i de tidlige stadiene, med analyse som viser at den er en nedslitt versjon av forgjengeren. Nøkkelfunksjoner som Automatic Transfer System (ATS), Easyclick og obfuskeringsrutiner er fjernet, mens 33 nye kommandoer er lagt til for å trekke ut et bredere spekter av data.
Videre er 61 kommandoer delt mellom TgToxic og ToxicPanda, noe som tyder på at den samme trusselaktøren eller nære medarbeidere sannsynligvis står bak denne skadevarefamilien. Selv om ToxicPanda beholder noen botkommandolikheter med TgToxic-familien, avviker koden betydelig. Flere funksjoner som er typiske for TgToxic mangler, og noen kommandoer ser ut til å være plassholdere uten faktisk funksjonalitet.
Hvordan fungerer ToxicPanda Banking Trojan?
Skadevaren forkler seg som kjente applikasjoner som Google Chrome, Visa og 99 Speedmart, distribuert gjennom falske nettsteder som imiterer legitime appbutikkoppføringer. Det er fortsatt uklart hvordan disse koblingene deles eller om teknikker som malvertising eller smishing er involvert.
Når den er installert via sideloading, utnytter ToxicPanda Androids tilgjengelighetstjenester for å få økte tillatelser, automatisere brukerinndata og fange data fra andre applikasjoner. Den kan fange opp engangspassord (OTP) sendt via SMS eller autentiseringsapper, slik at angripere kan omgå tofaktorautentisering (2FA) og fullføre uautoriserte transaksjoner.
Utover datainnsamling, gjør skadevarenes primære funksjon det mulig for angripere å kontrollere den kompromitterte enheten eksternt og utføre svindel på enheten (ODF), noe som muliggjør uautoriserte pengeoverføringer uten offerets bevissthet.
Forskere rapporterer at de fikk tilgang til ToxicPandas Command-and-Control (C2) panel. I dette kinesisk-språklige grensesnittet kan operatører se en liste over infiserte enheter, inkludert modell- og plasseringsdetaljer, og til og med fjerne dem fra botnettet. Panelet gjør det også mulig for operatører å be om sanntids ekstern tilgang til enheter for å utføre ODF-aktiviteter.
ToxicPanda kan være i tidlig utvikling av nettkriminelle
ToxicPanda har ennå ikke vist mer sofistikerte eller særegne funksjoner som ville gjøre analysen mer utfordrende. Imidlertid indikerer elementer som loggdata, ubrukt kode og feilsøkingsfiler at skadevaren enten kan være i de tidlige utviklingsstadiene eller gjennomgå betydelig koderefaktorisering, spesielt med tanke på likhetene med TGToxic.
