ТокицПанда Мобиле Малваре
Нова врста Андроид банкарског малвера, названа ТокицПанда, заразила је преко 1.500 Андроид уређаја, омогућавајући сајбер криминалцима да врше лажне банкарске трансакције. Примарни циљ компаније ТокицПанда је да покрене неовлашћене трансфере новца са компромитованих уређаја путем преузимања налога (АТО) користећи технику познату као превара на уређају (ОДФ). Овај метод настоји да избегне мере безбедности банке дизајниране да верификује идентитет корисника и открије необичне обрасце трансакција кроз анализу понашања.
Истраживачи верују да ТокицПанда потиче од претњи који говори кинески. Малвер има значајне сличности са ТгТокиц-ом , још једним Андроид малвером идентификованим почетком 2023. ТгТокиц је способан да украде акредитиве и средства из новчаника криптовалута.
Преглед садржаја
ТокицПанда циља на различите земље
Највише инфекција забележено је у Италији (56,8%), затим у Португалу (18,7%), Хонг Конгу (4,6%), Шпанији (3,9%) и Перуу (3,4%). Ово је необичан случај када је кинески актер претње циљао на кориснике банкарског пословања са становништвом у Европи и Латинској Америци.
Чини се да је овај банкарски тројанац у раној фази, а анализа га открива као смањену верзију свог претходника. Кључне карактеристике као што су систем аутоматског преноса (АТС), Еасицлицк и рутине замагљивања су уклоњене, док су 33 нове команде додате за издвајање ширег спектра података.
Штавише, ТгТокиц и ТокицПанда деле 61 команду, што сугерише да исти актер претње или блиски сарадници вероватно стоје иза ове породице малвера. Иако ТокицПанда задржава неке сличности команди бота са породицом ТгТокиц, њен код се значајно разликује. Недостаје неколико функција типичних за ТгТокиц, а неке команде изгледају као чувари места без стварне функционалности.
Како функционише банкарски тројанац ТокицПанда?
Малвер се прерушава у познате апликације као што су Гоогле Цхроме, Виса и 99 Спеедмарт, дистрибуиране преко лажних веб локација које имитирају легитимне уносе у продавници апликација. Остаје нејасно како се ове везе деле или да ли су умешане технике као што су малвертисинг или смисхинг.
Једном инсталиран путем бочног учитавања, ТокицПанда искоришћава Андроидове услуге приступачности да би добио повишене дозволе, аутоматизовао уносе корисника и ухватио податке из других апликација. Може да пресретне једнократне лозинке (ОТП) послате путем СМС-а или апликација за аутентификацију, омогућавајући нападачима да заобиђу двофакторску аутентификацију (2ФА) и заврше неовлашћене трансакције.
Осим прикупљања података, примарна функција малвера омогућава нападачима да контролишу компромитовани уређај на даљину и изврше превару на уређају (ОДФ), омогућавајући неовлашћене трансфере новца без свести жртве.
Истраживачи наводе да су приступили ТокицПандином панелу за команду и контролу (Ц2). У овом интерфејсу на кинеском језику, оператери могу да виде листу заражених уређаја, укључујући детаље о моделу и локацији, па чак и да их уклоне са ботнета. Панел такође омогућава оператерима да затраже даљински приступ уређајима у реалном времену за извршавање ОДФ активности.
ТокицПанда је можда у раном развоју од стране сајбер криминалаца
ТокицПанда тек треба да покаже софистицираније или препознатљивије могућности које би њену анализу учиниле изазовнијом. Међутим, елементи као што су подаци за евидентирање, неискоришћени код и датотеке за отклањање грешака указују на то да би малвер могао бити или у раним фазама развоја или подвргнут значајном рефакторисању кода, посебно имајући у виду његове сличности са ТГТокиц-ом.
