Мобільна шкідлива програма ToxicPanda
Новий штам банківського зловмисного програмного забезпечення Android під назвою ToxicPanda заразив понад 1500 пристроїв Android, дозволяючи кіберзлочинцям здійснювати шахрайські банківські операції. Основна мета ToxicPanda — ініціювати неавторизовані грошові перекази зі зламаних пристроїв шляхом захоплення облікового запису (ATO) за допомогою техніки, відомої як шахрайство на пристрої (ODF). Цей метод намагається уникнути банківських заходів безпеки, призначених для перевірки особи користувачів і виявлення незвичайних моделей транзакцій за допомогою аналізу поведінки.
Дослідники вважають, що ToxicPanda походить від китайськомовного актора-загрози. Зловмисне програмне забезпечення має помітну схожість із TgToxic , ще одним зловмисним програмним забезпеченням для Android, ідентифікованим на початку 2023 року. TgToxic здатне викрадати облікові дані та кошти з гаманців криптовалюти.
Зміст
ToxicPanda націлена на різноманітні країни
Найбільше заражень зафіксовано в Італії (56,8%), за нею йдуть Португалія (18,7%), Гонконг (4,6%), Іспанія (3,9%) і Перу (3,4%). Це незвичайний випадок, коли китайська загроза націлилася на роздрібних банківських користувачів у Європі та Латинській Америці.
Схоже, цей банківський троян знаходиться на ранніх стадіях, і аналіз показує, що він є скороченою версією свого попередника. Такі ключові функції, як система автоматичного передавання (ATS), Easyclick і процедури обфускації, було видалено, а 33 нові команди додано для вилучення ширшого діапазону даних.
Крім того, TgToxic і ToxicPanda спільно використовують 61 команду, що свідчить про те, що за цим сімейством зловмисних програм, ймовірно, стоїть один і той самий загрозливий діяч або його близькі партнери. Хоча ToxicPanda зберігає деякі подібності команд бота з сімейством TgToxic, його код значно розходиться. Декілька функцій, типових для TgToxic, відсутні, а деякі команди здаються заповнювачами без фактичної функціональності.
Як працює банківський троян ToxicPanda?
Зловмисне програмне забезпечення маскується під добре відомі програми, як-от Google Chrome, Visa та 99 Speedmart, які розповсюджуються через підроблені веб-сайти, які імітують законні списки додатків у магазинах. Залишається незрозумілим, як ці посилання поширюються, чи використовуються такі методи, як шкідлива реклама чи смішинг.
Після встановлення за допомогою стороннього завантаження ToxicPanda використовує служби доступності Android для отримання підвищених дозволів, автоматизації введення користувачами та збору даних з інших програм. Він може перехоплювати одноразові паролі (OTP), надіслані через SMS або програми автентифікації, дозволяючи зловмисникам обійти двофакторну автентифікацію (2FA) і завершити несанкціоновані транзакції.
Окрім збору даних, основна функція зловмисного програмного забезпечення дозволяє зловмисникам віддалено контролювати скомпрометований пристрій і здійснювати шахрайство на пристрої (ODF), сприяючи неавторизованим переказам грошей без відома жертви.
Дослідники повідомляють, що вони отримали доступ до панелі керування (C2) ToxicPanda. У цьому китайськомовному інтерфейсі оператори можуть переглядати список заражених пристроїв, включаючи дані про модель і місцезнаходження, і навіть видаляти їх із ботнету. Панель також дозволяє операторам запитувати віддалений доступ у реальному часі до пристроїв для виконання операцій ODF.
Можливо, кіберзлочинці перебувають на ранній стадії розробки ToxicPanda
ToxicPanda ще не продемонструвала більш складні чи характерні можливості, які зробили б його аналіз більш складним. Однак такі елементи, як дані журналу, невикористаний код і файли налагодження, вказують на те, що зловмисне програмне забезпечення може перебувати на ранніх стадіях розробки або пройти значну рефакторинг коду, особливо враховуючи його схожість із TGToxic.
