ToxicPanda Mobile Malware
O nouă tulpină de malware bancar Android, denumită ToxicPanda, a infectat peste 1.500 de dispozitive Android, permițând infractorilor cibernetici să efectueze tranzacții bancare frauduloase. Obiectivul principal al ToxicPanda este de a iniția transferuri de bani neautorizate de pe dispozitive compromise prin preluarea contului (ATO), folosind o tehnică cunoscută sub numele de fraudă pe dispozitiv (ODF). Această metodă urmărește să evite măsurile de securitate ale băncilor menite să verifice identitățile utilizatorilor și să detecteze modele de tranzacții neobișnuite prin analiza comportamentală.
Cercetătorii cred că ToxicPanda provine de la un actor de amenințare vorbitor de chineză. Malware-ul are asemănări notabile cu TgToxic , un alt malware Android identificat la începutul anului 2023. TgToxic este capabil să fure acreditări și fonduri din portofelele criptomonede.
Cuprins
ToxicPanda vizează un set divers de țări
Majoritatea infecțiilor au fost observate în Italia (56,8%), urmată de Portugalia (18,7%), Hong Kong (4,6%), Spania (3,9%) și Peru (3,4%). Acesta este un caz neobișnuit în care un actor chinez de amenințare a vizat utilizatorii de servicii bancare cu amănuntul atât din Europa, cât și din America Latină.
Acest troian bancar pare să fie în fazele sale incipiente, analiza dezvăluind că este o versiune redusă a predecesorului său. Caracteristicile cheie precum Sistemul de transfer automat (ATS), Easyclick și rutinele de ofuscare au fost eliminate, în timp ce 33 de comenzi noi au fost adăugate pentru a extrage o gamă mai largă de date.
În plus, 61 de comenzi sunt partajate între TgToxic și ToxicPanda, ceea ce sugerează că același actor de amenințare sau asociați apropiați se află probabil în spatele acestei familii de malware. Deși ToxicPanda păstrează unele asemănări de comandă bot cu familia TgToxic, codul său diferă semnificativ. Mai multe funcții tipice pentru TgToxic lipsesc, iar unele comenzi par să fie substituenți fără funcționalitate reală.
Cum funcționează troianul bancar ToxicPanda?
Malware-ul se deghizează în aplicații binecunoscute precum Google Chrome, Visa și 99 Speedmart, distribuite prin site-uri web false care imită înregistrările legitime din magazinul de aplicații. Rămâne neclar cum sunt partajate aceste linkuri sau dacă sunt implicate tehnici precum publicitate incorectă sau smishing.
Odată instalat prin încărcare laterală, ToxicPanda exploatează serviciile de accesibilitate Android pentru a obține permisiuni ridicate, pentru a automatiza intrările utilizatorilor și pentru a captura date din alte aplicații. Poate intercepta parole unice (OTP) trimise prin SMS sau aplicații de autentificare, permițând atacatorilor să ocolească autentificarea cu doi factori (2FA) și să finalizeze tranzacțiile neautorizate.
Dincolo de colectarea datelor, funcția principală a malware-ului permite atacatorilor să controleze dispozitivul compromis de la distanță și să execute fraude pe dispozitiv (ODF), facilitând transferurile de bani neautorizate fără conștientizarea victimei.
Cercetătorii raportează că au accesat panoul de comandă și control (C2) al ToxicPanda. În această interfață în limba chineză, operatorii pot vizualiza o listă de dispozitive infectate, inclusiv detalii despre model și locație, și chiar le pot elimina din botnet. Panoul permite, de asemenea, operatorilor să solicite acces la distanță în timp real la dispozitive pentru a executa activități ODF.
ToxicPanda poate fi în dezvoltare timpurie de către infractorii cibernetici
ToxicPanda nu a afișat încă capabilități mai sofisticate sau distinctive care să facă analiza sa mai dificilă. Cu toate acestea, elemente precum datele de înregistrare, codul neutilizat și fișierele de depanare indică faptul că malware-ul ar putea fi fie în stadiile incipiente de dezvoltare, fie în curs de refactorizare semnificativă a codului, mai ales având în vedere asemănările sale cu TGToxic.
