ToxicPanda skadlig programvara för mobil
En ny stam av Android-bankskadlig programvara, kallad ToxicPanda, har infekterat över 1 500 Android-enheter, vilket gör det möjligt för cyberbrottslingar att utföra bedrägliga banktransaktioner. ToxicPandas primära mål är att initiera obehöriga pengaöverföringar från komprometterade enheter genom kontoövertagande (ATO) med en teknik som kallas on-device fraud (ODF). Denna metod syftar till att undvika banksäkerhetsåtgärder utformade för att verifiera användarnas identiteter och upptäcka ovanliga transaktionsmönster genom beteendeanalys.
Forskare tror att ToxicPanda kommer från en kinesisktalande hotaktör. Skadlig programvara har anmärkningsvärda likheter med TgToxic , en annan skadlig programvara för Android som identifierades i början av 2023. TgToxic kan stjäla referenser och pengar från kryptovaluta-plånböcker.
Innehållsförteckning
ToxicPanda riktar sig till en mångfald av länder
Majoriteten av infektionerna har observerats i Italien (56,8 %), följt av Portugal (18,7 %), Hongkong (4,6 %), Spanien (3,9 %) och Peru (3,4 %). Det här är ett ovanligt fall där en kinesisk hotaktör har riktat in sig på privatbanksanvändare i både Europa och Latinamerika.
Den här banktrojanen verkar vara i ett tidigt skede, med analys som visar att den är en förminskad version av sin föregångare. Nyckelfunktioner som Automatic Transfer System (ATS), Easyclick och obfuskeringsrutiner har tagits bort, medan 33 nya kommandon har lagts till för att extrahera ett bredare dataspektrum.
Dessutom delas 61 kommandon mellan TgToxic och ToxicPanda, vilket tyder på att samma hotaktör eller nära medarbetare sannolikt ligger bakom denna skadliga programfamilj. Även om ToxicPanda behåller vissa botkommandolikheter med TgToxic-familjen, skiljer sig dess kod avsevärt. Flera funktioner som är typiska för TgToxic saknas, och vissa kommandon verkar vara platshållare utan faktisk funktionalitet.
Hur fungerar ToxicPanda Banking Trojan?
Skadlig programvara förklär sig som välkända applikationer som Google Chrome, Visa och 99 Speedmart, distribuerade via falska webbplatser som imiterar legitima appbutikslistor. Det är fortfarande oklart hur dessa länkar delas eller om tekniker som malvertising eller smishing är inblandade.
När ToxicPanda väl har installerats via sidladdning, utnyttjar Androids tillgänglighetstjänster för att få förhöjda behörigheter, automatisera användarinmatningar och fånga data från andra applikationer. Den kan fånga upp engångslösenord (OTP) som skickas via SMS eller autentiseringsappar, vilket gör att angripare kan kringgå tvåfaktorsautentisering (2FA) och slutföra obehöriga transaktioner.
Utöver datainsamling gör skadlig programvaras primära funktion det möjligt för angripare att fjärrstyra den komprometterade enheten och utföra bedrägeri på enheter (ODF), vilket underlättar obehöriga pengaöverföringar utan offrets medvetenhet.
Forskare rapporterar att de fick tillgång till ToxicPandas Command-and-Control-panel (C2). I detta kinesiska gränssnitt kan operatörer se en lista över infekterade enheter, inklusive modell- och platsinformation, och till och med ta bort dem från botnätet. Panelen gör det också möjligt för operatörer att begära fjärråtkomst i realtid till enheter för att utföra ODF-aktiviteter.
ToxicPanda kan vara i tidig utveckling av cyberkriminella
ToxicPanda har ännu inte visat mer sofistikerade eller distinkta funktioner som skulle göra analysen mer utmanande. Emellertid indikerar element som loggdata, oanvänd kod och felsökningsfiler att skadlig programvara antingen kan vara i de tidiga utvecklingsstadierna eller genomgå betydande kodrefaktorisering, särskilt med tanke på dess likheter med TGToxic.
