มัลแวร์มือถือ ToxicPanda

มัลแวร์ธนาคารบนระบบปฏิบัติการแอนดรอยด์สายพันธุ์ใหม่ที่เรียกว่า ToxicPanda ได้แพร่ระบาดไปยังอุปกรณ์แอนดรอยด์กว่า 1,500 เครื่อง ทำให้ผู้ก่ออาชญากรรมไซเบอร์สามารถทำธุรกรรมทางการเงินฉ้อโกงได้ เป้าหมายหลักของ ToxicPanda คือการเริ่มการโอนเงินที่ไม่ได้รับอนุญาตจากอุปกรณ์ที่ถูกบุกรุกผ่านการยึดบัญชี (ATO) โดยใช้เทคนิคที่เรียกว่าการฉ้อโกงบนอุปกรณ์ (ODF) วิธีการนี้พยายามหลบเลี่ยงมาตรการรักษาความปลอดภัยของธนาคารที่ออกแบบมาเพื่อยืนยันตัวตนของผู้ใช้และตรวจจับรูปแบบธุรกรรมที่ผิดปกติผ่านการวิเคราะห์พฤติกรรม

นักวิจัยเชื่อว่า ToxicPanda มีต้นกำเนิดมาจากผู้ก่อภัยคุกคามที่พูดภาษาจีน มัลแวร์นี้มีความคล้ายคลึงกับ TgToxic ซึ่งเป็นมัลแวร์บน Android อีกตัวหนึ่งที่ถูกระบุเมื่อต้นปี 2023 TgToxic สามารถขโมยข้อมูลประจำตัวและเงินจากกระเป๋าเงินสกุลเงินดิจิทัลได้

ToxicPanda มุ่งเป้าไปที่กลุ่มประเทศที่หลากหลาย

พบการติดเชื้อส่วนใหญ่ในอิตาลี (56.8%) รองลงมาคือโปรตุเกส (18.7%) ฮ่องกง (4.6%) สเปน (3.9%) และเปรู (3.4%) นี่เป็นกรณีที่ไม่ปกติที่ผู้ก่อภัยคุกคามชาวจีนได้กำหนดเป้าหมายผู้ใช้ธนาคารค้าปลีกทั้งในยุโรปและละตินอเมริกา

ดูเหมือนว่าโทรจันสำหรับธนาคารนี้จะยังอยู่ในช่วงเริ่มต้น โดยจากการวิเคราะห์พบว่าเป็นเวอร์ชันที่ลดขนาดลงของรุ่นก่อน ฟีเจอร์สำคัญๆ เช่น ระบบการโอนอัตโนมัติ (ATS), Easyclick และรูทีนการบดบังข้อมูลนั้นถูกลบออกไป ในขณะที่มีการเพิ่มคำสั่งใหม่ 33 คำสั่งเพื่อดึงข้อมูลในวงกว้างขึ้น

นอกจากนี้ ยังมีคำสั่ง 61 คำสั่งที่ใช้ร่วมกันระหว่าง TgToxic และ ToxicPanda ซึ่งแสดงให้เห็นว่าผู้ก่อภัยคุกคามหรือผู้ใกล้ชิดรายเดียวกันอาจอยู่เบื้องหลังมัลแวร์ตระกูลนี้ แม้ว่า ToxicPanda จะยังมีคำสั่งของบอตบางส่วนที่คล้ายคลึงกับตระกูล TgToxic แต่โค้ดของมันก็แตกต่างกันอย่างมาก ฟังก์ชันบางอย่างที่เป็นลักษณะเฉพาะของ TgToxic ยังขาดหายไป และคำสั่งบางคำสั่งดูเหมือนจะเป็นเพียงตัวแทนที่ไม่มีฟังก์ชันการทำงานจริง

ToxicPanda Banking Trojan ทำงานอย่างไร?

มัลแวร์ปลอมตัวเป็นแอปพลิเคชันชื่อดัง เช่น Google Chrome, Visa และ 99 Speedmart และเผยแพร่ผ่านเว็บไซต์ปลอมที่เลียนแบบรายชื่อแอปสโตร์ที่ถูกต้องตามกฎหมาย ยังไม่ชัดเจนว่าลิงก์เหล่านี้ถูกแชร์อย่างไร หรือมีเทคนิคเช่นการโฆษณาแฝงมัลแวร์หรือการส่งข้อความหลอกลวงหรือไม่

เมื่อติดตั้งผ่านการโหลดด้านข้างแล้ว ToxicPanda จะใช้ประโยชน์จากบริการการเข้าถึงของ Android เพื่อรับสิทธิ์ที่สูงกว่า ป้อนข้อมูลของผู้ใช้โดยอัตโนมัติ และรวบรวมข้อมูลจากแอปพลิเคชันอื่น มันสามารถดักจับรหัสผ่านครั้งเดียว (OTP) ที่ส่งผ่าน SMS หรือแอปตรวจสอบสิทธิ์ ทำให้ผู้โจมตีสามารถหลีกเลี่ยงการพิสูจน์ตัวตนแบบสองขั้นตอน (2FA) และทำธุรกรรมที่ไม่ได้รับอนุญาตได้

นอกเหนือจากการรวบรวมข้อมูลแล้ว ฟังก์ชันหลักของมัลแวร์ยังช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกจากระยะไกล และดำเนินการฉ้อโกงบนอุปกรณ์ (ODF) ทำให้เกิดการโอนเงินที่ไม่ได้รับอนุญาตโดยที่เหยื่อไม่ทราบ

นักวิจัยรายงานว่าพวกเขาสามารถเข้าถึงแผงควบคุม Command-and-Control (C2) ของ ToxicPanda ได้ ในอินเทอร์เฟซภาษาจีนนี้ ผู้ควบคุมสามารถดูรายชื่ออุปกรณ์ที่ติดไวรัส รวมถึงรายละเอียดรุ่นและตำแหน่ง และแม้แต่ลบอุปกรณ์เหล่านี้ออกจากบอตเน็ตได้ นอกจากนี้ แผงควบคุมยังช่วยให้ผู้ควบคุมสามารถขอการเข้าถึงอุปกรณ์จากระยะไกลแบบเรียลไทม์เพื่อดำเนินกิจกรรม ODF ได้

ToxicPanda อาจอยู่ในระยะเริ่มต้นของการพัฒนาโดยอาชญากรทางไซเบอร์

ToxicPanda ยังต้องแสดงความสามารถที่ซับซ้อนหรือโดดเด่นกว่านี้อีก ซึ่งจะทำให้การวิเคราะห์มีความท้าทายมากขึ้น อย่างไรก็ตาม องค์ประกอบต่างๆ เช่น ข้อมูลการบันทึก โค้ดที่ไม่ได้ใช้ และไฟล์ดีบัก บ่งชี้ว่ามัลแวร์นี้อาจอยู่ในระยะเริ่มต้นของการพัฒนาหรืออยู่ระหว่างการรีแฟกเตอร์โค้ดอย่างมีนัยสำคัญ โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงความคล้ายคลึงกับ TGToxic