ToxicPanda mobiele malware
Een nieuwe variant van de Android banking malware, genaamd ToxicPanda, heeft meer dan 1.500 Android-apparaten geïnfecteerd, waardoor cybercriminelen frauduleuze banktransacties kunnen uitvoeren. Het primaire doel van ToxicPanda is om ongeautoriseerde geldtransfers te initiëren vanaf gecompromitteerde apparaten via account takeover (ATO) met behulp van een techniek die bekend staat als on-device fraud (ODF). Deze methode probeert bankbeveiligingsmaatregelen te omzeilen die zijn ontworpen om de identiteit van gebruikers te verifiëren en ongebruikelijke transactiepatronen te detecteren via gedragsanalyse.
Onderzoekers geloven dat ToxicPanda afkomstig is van een Chinees sprekende bedreigingsactor. De malware vertoont opvallende overeenkomsten met TgToxic , een andere Android-malware die begin 2023 werd geïdentificeerd. TgToxic is in staat om inloggegevens en fondsen te stelen van cryptocurrency wallets.
Inhoudsopgave
ToxicPanda richt zich op een diverse groep landen
De meeste infecties zijn waargenomen in Italië (56,8%), gevolgd door Portugal (18,7%), Hong Kong (4,6%), Spanje (3,9%) en Peru (3,4%). Dit is een ongebruikelijk geval waarbij een Chinese dreigingsactor retailbankgebruikers in zowel Europa als Latijns-Amerika heeft aangevallen.
Deze banking-Trojan lijkt zich nog in een vroeg stadium te bevinden, waarbij analyse aantoont dat het een uitgeklede versie is van zijn voorganger. Belangrijke functies zoals het Automatic Transfer System (ATS), Easyclick en obfuscatieroutines zijn verwijderd, terwijl er 33 nieuwe opdrachten zijn toegevoegd om een breder scala aan gegevens te extraheren.
Bovendien worden 61 opdrachten gedeeld tussen TgToxic en ToxicPanda, wat suggereert dat dezelfde bedreigingsactor of naaste medewerkers waarschijnlijk achter deze malwarefamilie zitten. Hoewel ToxicPanda enkele overeenkomsten met botopdrachten met de TgToxic-familie behoudt, wijkt de code aanzienlijk af. Verschillende functies die typisch zijn voor TgToxic ontbreken en sommige opdrachten lijken tijdelijke aanduidingen te zijn zonder daadwerkelijke functionaliteit.
Hoe werkt de banktrojan ToxicPanda?
De malware vermomt zich als bekende applicaties zoals Google Chrome, Visa en 99 Speedmart, verspreid via nepwebsites die legitieme app store listings imiteren. Het blijft onduidelijk hoe deze links worden gedeeld of of er technieken als malvertising of smishing bij betrokken zijn.
Na installatie via sideloading, maakt ToxicPanda gebruik van Android's toegankelijkheidsservices om verhoogde rechten te verkrijgen, gebruikersinvoer te automatiseren en gegevens van andere applicaties vast te leggen. Het kan eenmalige wachtwoorden (OTP's) onderscheppen die via sms of authenticator-apps worden verzonden, waardoor aanvallers tweefactorauthenticatie (2FA) kunnen omzeilen en ongeautoriseerde transacties kunnen voltooien.
Naast het verzamelen van gegevens is de belangrijkste functie van de malware dat aanvallers het gecompromitteerde apparaat op afstand kunnen besturen en fraude op het apparaat (ODF) kunnen uitvoeren. Zo kunnen ongeautoriseerde geldtransacties worden uitgevoerd zonder dat het slachtoffer zich hiervan bewust is.
Onderzoekers melden dat ze toegang hebben gehad tot het Command-and-Control (C2) paneel van ToxicPanda. In deze Chineestalige interface kunnen operators een lijst met geïnfecteerde apparaten bekijken, inclusief model- en locatiegegevens, en ze zelfs uit het botnet verwijderen. Het paneel stelt operators ook in staat om realtime externe toegang tot apparaten aan te vragen om ODF-activiteiten uit te voeren.
ToxicPanda bevindt zich mogelijk nog in een vroeg stadium van ontwikkeling door cybercriminelen
ToxicPanda moet nog geavanceerdere of onderscheidende mogelijkheden laten zien die de analyse ervan uitdagender zouden maken. Echter, elementen zoals loggegevens, ongebruikte code en debugging-bestanden geven aan dat de malware zich in de vroege stadia van ontwikkeling bevindt of een significante code-refactoring ondergaat, vooral gezien de overeenkomsten met TGToxic.
