Malware ToxicPanda Mobile

Një lloj i ri i malware bankar Android, i quajtur ToxicPanda, ka infektuar mbi 1500 pajisje Android, duke u mundësuar kriminelëve kibernetikë të kryejnë transaksione bankare mashtruese. Objektivi kryesor i ToxicPanda është të fillojë transferime të paautorizuara parash nga pajisjet e komprometuara përmes marrjes së llogarisë (ATO) duke përdorur një teknikë të njohur si mashtrim në pajisje (ODF). Kjo metodë synon të shmangë masat e sigurisë bankare të krijuara për të verifikuar identitetin e përdoruesve dhe për të zbuluar modele të pazakonta transaksionesh përmes analizës së sjelljes.

Studiuesit besojnë se ToxicPanda e ka origjinën nga një aktor kërcënimi që flet kinezisht. Malware ka ngjashmëri të dukshme me TgToxic , një tjetër malware Android i identifikuar në fillim të vitit 2023. TgToxic është në gjendje të vjedhë kredencialet dhe fonde nga kuletat e kriptomonedhave.

ToxicPanda synon një grup të ndryshëm vendesh

Shumica e infeksioneve janë vërejtur në Itali (56.8%), e ndjekur nga Portugalia (18.7%), Hong Kongu (4.6%), Spanja (3.9%) dhe Peruja (3.4%). Ky është një rast i pazakontë ku një aktor kinez i kërcënimit ka synuar përdoruesit e bankave me pakicë në Evropë dhe Amerikën Latine.

Ky Trojan bankar duket se është në fazat e tij të hershme, me analiza që e zbulojnë atë si një version të zbutur të paraardhësit të tij. Karakteristikat kryesore si Sistemi i Transferimit Automatik (ATS), Easyclick dhe rutinat e turbullimit janë hequr, ndërsa 33 komanda të reja janë shtuar për të nxjerrë një gamë më të gjerë të dhënash.

Për më tepër, 61 komanda ndahen midis TgToxic dhe ToxicPanda, duke sugjeruar që i njëjti aktor kërcënimi ose bashkëpunëtorë të afërt ka të ngjarë pas kësaj familjeje malware. Megjithëse ToxicPanda ruan disa ngjashmëri me komandën e bot-it me familjen TgToxic, kodi i tij ndryshon ndjeshëm. Disa funksione tipike të TgToxic mungojnë dhe disa komanda duket se janë mbajtëse vendesh pa funksionalitet aktual.

Si funksionon Trojani Bankar ToxicPanda?

Malware maskohet si aplikacione të njohura si Google Chrome, Visa dhe 99 Speedmart, të shpërndara përmes faqeve të rreme të internetit që imitojnë listat e ligjshme të dyqaneve të aplikacioneve. Mbetet e paqartë se si po ndahen këto lidhje ose nëse përfshihen teknika të tilla si reklamimi i keq ose përplasja.

Pasi të instalohet nëpërmjet ngarkimit anësor, ToxicPanda shfrytëzon shërbimet e aksesueshmërisë së Android për të fituar leje të larta, për të automatizuar hyrjet e përdoruesve dhe për të kapur të dhëna nga aplikacione të tjera. Ai mund të përgjojë fjalëkalimet një herë (OTP) të dërguara përmes SMS ose aplikacioneve të vërtetuesit, duke i lejuar sulmuesit të anashkalojnë vërtetimin me dy faktorë (2FA) dhe të kryejnë transaksione të paautorizuara.

Përtej mbledhjes së të dhënave, funksioni kryesor i malware u mundëson sulmuesve të kontrollojnë pajisjen e komprometuar nga distanca dhe të ekzekutojnë mashtrime në pajisje (ODF), duke lehtësuar transferimet e paautorizuara të parave pa dijeninë e viktimës.

Studiuesit raportojnë se ata kishin akses në panelin e komandës dhe kontrollit (C2) të ToxicPanda. Në këtë ndërfaqe në gjuhën kineze, operatorët mund të shikojnë një listë të pajisjeve të infektuara, duke përfshirë detajet e modelit dhe vendndodhjes, madje edhe t'i heqin ato nga botnet. Paneli gjithashtu u mundëson operatorëve të kërkojnë qasje në distancë në kohë reale në pajisjet për të ekzekutuar aktivitetet ODF.

ToxicPanda mund të jetë në zhvillim të hershëm nga kriminelët kibernetikë

ToxicPanda ende nuk ka shfaqur aftësi më të sofistikuara ose më të dallueshme që do ta bënin analizën e saj më sfiduese. Sidoqoftë, elementë si regjistrimi i të dhënave, kodi i papërdorur dhe skedarët e korrigjimit tregojnë se malware mund të jetë ose në fazat e hershme të zhvillimit ose t'i nënshtrohet rifaktorimit të konsiderueshëm të kodit, veçanërisht duke marrë parasysh ngjashmëritë e tij me TGToxic.