ToxicPanda Mobile Malware
Nový kmeň bankového malvéru Android s názvom ToxicPanda infikoval viac ako 1 500 zariadení so systémom Android, čo umožňuje kyberzločincom vykonávať podvodné bankové transakcie. Primárnym cieľom ToxicPanda je iniciovať neoprávnené prevody peňazí z napadnutých zariadení prostredníctvom prevzatia účtu (ATO) pomocou techniky známej ako podvod na zariadení (ODF). Táto metóda sa snaží vyhnúť bankovým bezpečnostným opatreniam určeným na overenie identity používateľov a odhalenie neobvyklých vzorcov transakcií prostredníctvom analýzy správania.
Výskumníci sa domnievajú, že ToxicPanda pochádza od čínsky hovoriaceho aktéra hrozby. Malvér má pozoruhodnú podobnosť s TgToxic , ďalším malvérom pre Android identifikovaným začiatkom roku 2023. TgToxic je schopný kradnúť poverenia a prostriedky z kryptomenových peňaženiek.
Obsah
ToxicPanda sa zameriava na rôznorodú skupinu krajín
Väčšina infekcií bola pozorovaná v Taliansku (56,8 %), nasledovalo Portugalsko (18,7 %), Hongkong (4,6 %), Španielsko (3,9 %) a Peru (3,4 %). Ide o neobvyklý prípad, keď sa čínsky aktér hrozby zameral na používateľov retailového bankovníctva v Európe aj Latinskej Amerike.
Zdá sa, že tento bankový trójsky kôň je v ranom štádiu, pričom analýza ho odhalila ako zmenšenú verziu svojho predchodcu. Kľúčové funkcie, ako je systém automatického prenosu (ATS), Easyclick a rutiny zahmlievania, boli odstránené, zatiaľ čo bolo pridaných 33 nových príkazov na extrahovanie širšieho rozsahu údajov.
Okrem toho je medzi TgToxic a ToxicPanda zdieľaných 61 príkazov, čo naznačuje, že za touto rodinou malvéru je pravdepodobne rovnaký aktér hrozby alebo blízki spolupracovníci. Aj keď si ToxicPanda zachováva niektoré podobnosti príkazov botov s rodinou TgToxic, jeho kód sa výrazne líši. Chýba niekoľko funkcií typických pre TgToxic a niektoré príkazy sa zdajú byť zástupnými symbolmi bez skutočnej funkčnosti.
Ako funguje bankový trójsky kôň ToxicPanda?
Malvér sa maskuje ako známe aplikácie, ako sú Google Chrome, Visa a 99 Speedmart, distribuované prostredníctvom falošných webových stránok, ktoré napodobňujú legitímne záznamy v obchode s aplikáciami. Zostáva nejasné, ako sú tieto prepojenia zdieľané alebo či sú zahrnuté techniky ako malvertising alebo smishing.
Po nainštalovaní prostredníctvom bočného načítania využíva ToxicPanda služby dostupnosti systému Android na získanie zvýšených povolení, automatizáciu používateľských vstupov a zachytávanie údajov z iných aplikácií. Dokáže zachytiť jednorazové heslá (OTP) odoslané prostredníctvom SMS alebo autentifikačných aplikácií, čo útočníkom umožňuje obísť dvojfaktorovú autentifikáciu (2FA) a dokončiť neoprávnené transakcie.
Okrem zberu údajov primárna funkcia škodlivého softvéru umožňuje útočníkom ovládať napadnuté zariadenie na diaľku a vykonávať podvody na zariadení (ODF), čo umožňuje neoprávnené prevody peňazí bez vedomia obete.
Výskumníci uvádzajú, že sa dostali na panel Command-and-Control (C2) ToxicPanda. V tomto čínskom rozhraní môžu operátori zobraziť zoznam infikovaných zariadení vrátane podrobností o modeli a umiestnení a dokonca ich odstrániť z botnetu. Panel tiež umožňuje operátorom požadovať vzdialený prístup k zariadeniam v reálnom čase na vykonávanie činností ODF.
ToxicPanda môže byť v ranom štádiu vývoja počítačovými zločincami
ToxicPanda musí ešte ukázať sofistikovanejšie alebo výraznejšie schopnosti, ktoré by sťažili jej analýzu. Prvky ako protokolovanie údajov, nepoužitý kód a ladiace súbory však naznačujú, že malvér by mohol byť buď v počiatočných fázach vývoja, alebo by mohol prejsť významnou refaktorizáciou kódu, najmä vzhľadom na jeho podobnosti s TGToxic.
