ToxicPanda Mobile Malware
Isang bagong strain ng Android banking malware, na tinatawag na ToxicPanda, ang nahawahan ng mahigit 1,500 Android device, na nagbibigay-daan sa mga cybercriminal na magsagawa ng mga mapanlinlang na transaksyon sa pagbabangko. Ang pangunahing layunin ng ToxicPanda ay simulan ang hindi awtorisadong paglilipat ng pera mula sa mga nakompromisong device sa pamamagitan ng account takeover (ATO) gamit ang isang technique na kilala bilang on-device fraud (ODF). Ang pamamaraang ito ay naglalayong iwasan ang mga hakbang sa seguridad ng bangko na idinisenyo upang i-verify ang mga pagkakakilanlan ng mga user at makita ang mga hindi pangkaraniwang pattern ng transaksyon sa pamamagitan ng pagsusuri sa pag-uugali.
Naniniwala ang mga mananaliksik na ang ToxicPanda ay nagmula sa isang banta na nagsasalita ng Chinese. Ang malware ay may kapansin-pansing pagkakatulad sa TgToxic , isa pang Android malware na natukoy noong unang bahagi ng 2023. Ang TgToxic ay may kakayahang magnakaw ng mga kredensyal at pondo mula sa mga wallet ng cryptocurrency.
Talaan ng mga Nilalaman
Tina-target ng ToxicPanda ang Iba't ibang Hanay ng mga Bansa
Ang karamihan ng mga impeksyon ay naobserbahan sa Italya (56.8%), sinundan ng Portugal (18.7%), Hong Kong (4.6%), Spain (3.9%), at Peru (3.4%). Ito ay isang hindi pangkaraniwang kaso kung saan ang isang Chinese threat actor ay nag-target ng mga retail banking user sa parehong Europe at Latin America.
Ang banking Trojan na ito ay lumilitaw na nasa maagang yugto nito, na may pagsusuri na nagpapakita nito bilang isang pared-down na bersyon ng hinalinhan nito. Ang mga pangunahing feature tulad ng Automatic Transfer System (ATS), Easyclick, at obfuscation routine ay inalis, habang 33 bagong command ang naidagdag upang kumuha ng mas malawak na hanay ng data.
Higit pa rito, 61 na utos ang ibinabahagi sa pagitan ng TgToxic at ToxicPanda, na nagmumungkahi na ang parehong banta na aktor o malapit na kasama ay malamang na nasa likod ng pamilyang ito ng malware. Bagama't ang ToxicPanda ay nagpapanatili ng ilang pagkakatulad ng bot command sa pamilyang TgToxic, ang code nito ay makabuluhang nag-iiba. Maraming mga function na tipikal ng TgToxic ang nawawala, at ang ilang mga command ay tila mga placeholder na walang aktwal na functionality.
Paano Gumagana ang ToxicPanda Banking Trojan?
Ang malware ay nagpapakilala sa sarili bilang mga kilalang application tulad ng Google Chrome, Visa, at 99 Speedmart, na ipinamahagi sa pamamagitan ng mga pekeng website na ginagaya ang mga lehitimong listahan ng app store. Ito ay nananatiling hindi malinaw kung paano ibinabahagi ang mga link na ito o kung ang mga diskarte tulad ng malvertising o smishing ay kasangkot.
Kapag na-install na sa pamamagitan ng sideloading, sinasamantala ng ToxicPanda ang mga serbisyo ng pagiging naa-access ng Android upang makakuha ng mataas na mga pahintulot, i-automate ang mga input ng user, at kumuha ng data mula sa iba pang mga application. Maaari nitong ma-intercept ang mga one-time na password (OTPs) na ipinadala sa pamamagitan ng SMS o authenticator app, na nagpapahintulot sa mga attacker na i-bypass ang two-factor authentication (2FA) at kumpletuhin ang mga hindi awtorisadong transaksyon.
Higit pa sa pangongolekta ng data, ang pangunahing function ng malware ay nagbibigay-daan sa mga umaatake na kontrolin ang nakompromisong device nang malayuan at magsagawa ng on-device fraud (ODF), na nagpapadali sa hindi awtorisadong paglilipat ng pera nang hindi nalalaman ng biktima.
Iniulat ng mga mananaliksik na na-access nila ang panel ng Command-and-Control (C2) ng ToxicPanda. Sa interface na ito sa wikang Chinese, maaaring tingnan ng mga operator ang isang listahan ng mga nahawaang device, kabilang ang mga detalye ng modelo at lokasyon, at kahit na alisin ang mga ito sa botnet. Binibigyang-daan din ng panel ang mga operator na humiling ng real-time na malayuang pag-access sa mga device para magsagawa ng mga aktibidad sa ODF.
Maaaring nasa Early Development ng mga Cybercriminal ang ToxicPanda
Ang ToxicPanda ay hindi pa nagpapakita ng mas sopistikado o natatanging mga kakayahan na gagawing mas mahirap ang pagsusuri nito. Gayunpaman, ang mga elemento tulad ng data sa pag-log, hindi nagamit na code, at pag-debug ng mga file ay nagpapahiwatig na ang malware ay maaaring nasa mga unang yugto ng pag-unlad o sumasailalim sa makabuluhang code refactoring, lalo na kung isasaalang-alang ang pagkakatulad nito sa TGToxic.
