ToxicPanda 移动恶意软件

一种名为 ToxicPanda 的新型 Android 银行恶意软件已感染了 1,500 多台 Android 设备，使网络犯罪分子能够进行欺诈性银行交易。ToxicPanda 的主要目标是通过账户接管 (ATO) 使用一种称为设备欺诈 (ODF) 的技术从受感染的设备发起未经授权的资金转账。这种方法旨在逃避旨在验证用户身份并通过行为分析检测异常交易模式的银行安全措施。

研究人员认为，ToxicPanda 源自一名讲中文的威胁行为者。该恶意软件与 2023 年初发现的另一种 Android 恶意软件TgToxic有明显的相似之处。TgToxic 能够窃取加密货币钱包中的凭证和资金。

ToxicPanda 针对的是多个国家

感染最多的国家是意大利（56.8%），其次是葡萄牙（18.7%）、香港（4.6%）、西班牙（3.9%）和秘鲁（3.4%）。这是一个不同寻常的案例，中国威胁行为者针对的是欧洲和拉丁美洲的零售银行用户。

这款银行木马似乎处于早期阶段，分析显示它是其前身的精简版。自动转账系统 (ATS)、Easyclick 和混淆例程等主要功能已被删除，同时添加了 33 个新命令以提取更广泛的数据。

此外，TgToxic 和 ToxicPanda 之间有 61 个命令是相同的，这表明该恶意软件家族背后可能有相同的威胁行为者或密切同伙。尽管 ToxicPanda 与 TgToxic 家族保留了一些机器人命令相似性，但其代码存在很大差异。TgToxic 的几个典型功能缺失，一些命令似乎是没有实际功能的占位符。

ToxicPanda 银行木马如何运作？

该恶意软件会伪装成 Google Chrome、Visa 和 99 Speedmart 等知名应用程序，通过模仿合法应用商店列表的虚假网站进行传播。目前尚不清楚这些链接是如何共享的，也不清楚是否涉及恶意广告或短信钓鱼等技术。

一旦通过侧载安装，ToxicPanda 就会利用 Android 的辅助功能服务来获取提升的权限、自动执行用户输入以及从其他应用程序捕获数据。它可以拦截通过短信或身份验证器应用程序发送的一次性密码 (OTP)，从而使攻击者能够绕过双因素身份验证 (2FA) 并完成未经授权的交易。

除了数据收集之外，该恶意软件的主要功能是使攻击者能够远程控制受感染的设备并执行设备欺诈（ODF），在受害者不知情的情况下进行未经授权的资金转移。

研究人员报告称，他们访问了 ToxicPanda 的命令和控制 (C2) 面板。在这个中文界面中，操作员可以查看受感染设备的列表，包括型号和位置详细信息，甚至可以将它们从僵尸网络中移除。该面板还允许操作员请求实时远程访问设备以执行 ODF 活动。

ToxicPanda 可能正由网络犯罪分子开发

ToxicPanda 尚未展现出更复杂或独特的功能，因此分析起来会更加困难。然而，日志数据、未使用代码和调试文件等元素表明，该恶意软件可能处于开发早期阶段，或者正在进行重大代码重构，尤其是考虑到它与 TGToxic 的相似性。