ToxicPanda Mobilne Malware
Nowy szczep bankowego oprogramowania Android, nazwany ToxicPanda, zainfekował ponad 1500 urządzeń z Androidem, umożliwiając cyberprzestępcom przeprowadzanie oszukańczych transakcji bankowych. Głównym celem ToxicPanda jest inicjowanie nieautoryzowanych przelewów pieniężnych z zainfekowanych urządzeń poprzez przejęcie konta (ATO) przy użyciu techniki znanej jako oszustwo na urządzeniu (ODF). Ta metoda ma na celu obejście bankowych środków bezpieczeństwa zaprojektowanych w celu weryfikacji tożsamości użytkowników i wykrywania nietypowych wzorców transakcji poprzez analizę behawioralną.
Badacze uważają, że ToxicPanda pochodzi od chińskojęzycznego aktora zagrożeń. Złośliwe oprogramowanie ma znaczące podobieństwa do TgToxic , innego złośliwego oprogramowania na Androida zidentyfikowanego na początku 2023 r. TgToxic jest w stanie kraść dane uwierzytelniające i fundusze z portfeli kryptowalutowych.
Spis treści
ToxicPanda atakuje zróżnicowaną grupę krajów
Większość infekcji odnotowano we Włoszech (56,8%), a następnie w Portugalii (18,7%), Hongkongu (4,6%), Hiszpanii (3,9%) i Peru (3,4%). Jest to nietypowy przypadek, w którym chiński aktor zagrożeń obrał sobie za cel użytkowników bankowości detalicznej zarówno w Europie, jak i Ameryce Łacińskiej.
Ten bankowy trojan wydaje się być na wczesnym etapie, a analiza ujawnia, że jest to okrojona wersja poprzednika. Kluczowe funkcje, takie jak Automatic Transfer System (ATS), Easyclick i procedury zaciemniania zostały usunięte, podczas gdy dodano 33 nowe polecenia w celu wyodrębnienia szerszego zakresu danych.
Ponadto 61 poleceń jest współdzielonych między TgToxic i ToxicPanda, co sugeruje, że ten sam aktor zagrożenia lub bliscy współpracownicy prawdopodobnie stoją za tą rodziną złośliwego oprogramowania. Chociaż ToxicPanda zachowuje pewne podobieństwa poleceń botów do rodziny TgToxic, jego kod znacznie się różni. Brakuje kilku funkcji typowych dla TgToxic, a niektóre polecenia wydają się być symbolami zastępczymi bez faktycznej funkcjonalności.
Jak działa trojan bankowy ToxicPanda?
Malware podszywa się pod znane aplikacje, takie jak Google Chrome, Visa i 99 Speedmart, dystrybuowane za pośrednictwem fałszywych witryn, które imitują legalne oferty w sklepach z aplikacjami. Nadal nie jest jasne, w jaki sposób te linki są udostępniane lub czy są w to zaangażowane techniki, takie jak malvertising lub smishing.
Po zainstalowaniu za pomocą sideloadingu ToxicPanda wykorzystuje usługi ułatwień dostępu Androida, aby uzyskać podwyższone uprawnienia, zautomatyzować wprowadzanie danych przez użytkownika i przechwycić dane z innych aplikacji. Może przechwytywać jednorazowe hasła (OTP) wysyłane za pośrednictwem wiadomości SMS lub aplikacji uwierzytelniających, umożliwiając atakującym ominięcie uwierzytelniania dwuskładnikowego (2FA) i przeprowadzenie nieautoryzowanych transakcji.
Oprócz zbierania danych, podstawową funkcją złośliwego oprogramowania jest umożliwienie atakującym zdalnej kontroli nad zainfekowanym urządzeniem i dokonywanie oszustw na urządzeniu (ODF), co umożliwia dokonywanie nieautoryzowanych przelewów pieniężnych bez wiedzy ofiary.
Badacze informują, że uzyskali dostęp do panelu Command-and-Control (C2) ToxicPanda. W tym interfejsie w języku chińskim operatorzy mogą przeglądać listę zainfekowanych urządzeń, w tym szczegóły modelu i lokalizacji, a nawet usuwać je z botnetu. Panel umożliwia również operatorom żądanie zdalnego dostępu w czasie rzeczywistym do urządzeń w celu wykonywania działań ODF.
ToxicPanda może być na wczesnym etapie rozwoju przez cyberprzestępców
ToxicPanda nie wykazała jeszcze bardziej wyrafinowanych lub charakterystycznych możliwości, które uczyniłyby jej analizę trudniejszą. Jednak elementy takie jak dane rejestrowania, nieużywany kod i pliki debugowania wskazują, że złośliwe oprogramowanie może znajdować się na wczesnym etapie rozwoju lub przechodzić znaczną refaktoryzację kodu, zwłaszcza biorąc pod uwagę jego podobieństwo do TGToxic.
