Мобильное вредоносное ПО ToxicPanda
Новый штамм вредоносного ПО для Android-банкинга, получивший название ToxicPanda, заразил более 1500 устройств Android, что позволило киберпреступникам проводить мошеннические банковские транзакции. Основная цель ToxicPanda — инициировать несанкционированные денежные переводы со взломанных устройств посредством захвата аккаунта (ATO) с использованием техники, известной как мошенничество на устройстве (ODF). Этот метод направлен на обход мер безопасности банка, разработанных для проверки личности пользователей и обнаружения необычных схем транзакций с помощью поведенческого анализа.
Исследователи полагают, что ToxicPanda исходит от китайскоязычного злоумышленника. Вредоносная программа имеет заметное сходство с TgToxic , другим вредоносным ПО для Android, выявленным в начале 2023 года. TgToxic способен красть учетные данные и средства из криптовалютных кошельков.
Оглавление
ToxicPanda нацелена на различные страны
Большинство случаев заражения зафиксировано в Италии (56,8%), за ней следуют Португалия (18,7%), Гонконг (4,6%), Испания (3,9%) и Перу (3,4%). Это необычный случай, когда китайский злоумышленник нацелился на пользователей розничных банковских услуг как в Европе, так и в Латинской Америке.
Этот банковский троян, похоже, находится на ранних стадиях, и анализ показывает, что он является урезанной версией своего предшественника. Ключевые функции, такие как система автоматической передачи (ATS), Easyclick и процедуры обфускации, были удалены, в то время как были добавлены 33 новые команды для извлечения более широкого спектра данных.
Кроме того, 61 команда является общей для TgToxic и ToxicPanda, что позволяет предположить, что за этим семейством вредоносных программ, вероятно, стоит один и тот же субъект угрозы или близкие сообщники. Хотя ToxicPanda сохраняет некоторые сходства команд бота с семейством TgToxic, его код значительно отличается. Несколько функций, типичных для TgToxic, отсутствуют, а некоторые команды, похоже, являются заглушками без фактической функциональности.
Как работает банковский троян ToxicPanda?
Вредоносное ПО маскируется под известные приложения, такие как Google Chrome, Visa и 99 Speedmart, распространяясь через поддельные веб-сайты, которые имитируют легитимные листинги магазинов приложений. Остается неясным, как эти ссылки распространяются или используются ли такие методы, как вредоносная реклама или smishing.
После установки через стороннюю загрузку ToxicPanda использует службы доступности Android для получения расширенных разрешений, автоматизации ввода данных пользователем и сбора данных из других приложений. Он может перехватывать одноразовые пароли (OTP), отправляемые через SMS или приложения-аутентификаторы, что позволяет злоумышленникам обходить двухфакторную аутентификацию (2FA) и выполнять несанкционированные транзакции.
Помимо сбора данных, основная функция вредоносного ПО позволяет злоумышленникам удаленно управлять взломанным устройством и осуществлять мошенничество на устройстве (ODF), что позволяет осуществлять несанкционированные денежные переводы без ведома жертвы.
Исследователи сообщают, что получили доступ к панели Command-and-Control (C2) ToxicPanda. В этом интерфейсе на китайском языке операторы могут просматривать список зараженных устройств, включая сведения о модели и местоположении, и даже удалять их из ботнета. Панель также позволяет операторам запрашивать удаленный доступ к устройствам в режиме реального времени для выполнения действий ODF.
ToxicPanda может находиться на ранней стадии разработки киберпреступниками
ToxicPanda еще не продемонстрировал более сложные или отличительные возможности, которые бы усложнили его анализ. Однако такие элементы, как данные журналирования, неиспользуемый код и файлы отладки, указывают на то, что вредоносное ПО может находиться на ранних стадиях разработки или проходить существенный рефакторинг кода, особенно учитывая его сходство с TGToxic.
