ToxicPanda 行動惡意軟體
一種名為 ToxicPanda 的新型 Android 銀行惡意軟體已感染了 1,500 多台 Android 設備,使網路犯罪分子能夠進行欺詐性銀行交易。 ToxicPanda 的主要目標是使用一種稱為裝置上詐欺 (ODF) 的技術,透過帳戶接管 (ATO) 從受感染的裝置發起未經授權的資金轉移。此方法旨在規避旨在驗證使用者身分並透過行為分析偵測異常交易模式的銀行安全措施。
研究人員認為 ToxicPanda 源自於講中文的威脅行為者。該惡意軟體與 2023 年初發現的另一款 Android 惡意軟體TgToxic具有顯著的相似之處。
目錄
ToxicPanda 針對不同的國家
大多數感染發生在義大利(56.8%),其次是葡萄牙(18.7%)、香港(4.6%)、西班牙(3.9%)和秘魯(3.4%)。這是一個不尋常的案例,中國威脅行為者同時針對歐洲和拉丁美洲的零售銀行用戶。
該銀行木馬似乎還處於早期階段,分析表明它是其前身的精簡版本。自動傳輸系統 (ATS)、Easyclick 和混淆例程等關鍵功能已被刪除,同時添加了 33 個新命令以提取更廣泛的資料。
此外,TgToxic 和 ToxicPanda 之間共享 61 個命令,這表明該惡意軟體家族的幕後黑手可能是同一威脅參與者或密切關聯者。儘管 ToxicPanda 與 TgToxic 系列保留了一些機器人指令相似之處,但其程式碼卻有顯著差異。 TgToxic 的幾個典型功能缺失,而某些命令似乎是沒有實際功能的佔位符。
ToxicPanda 銀行木馬如何運作?
該惡意軟體將自己偽裝成 Google Chrome、Visa 和 99 Speedmart 等知名應用程序,透過模仿合法應用程式商店列表的虛假網站進行傳播。目前尚不清楚這些連結是如何共享的,或者是否涉及惡意廣告或網路釣魚等技術。
一旦透過側載安裝,ToxicPanda 就會利用 Android 的輔助服務來獲得提升的權限、自動執行使用者輸入並從其他應用程式擷取資料。它可以攔截透過簡訊或身份驗證器應用程式發送的一次性密碼 (OTP),從而允許攻擊者繞過雙重認證 (2FA) 並完成未經授權的交易。
除了資料收集之外,該惡意軟體的主要功能還使攻擊者能夠遠端控制受感染的設備並執行設備上詐欺 (ODF),從而在受害者不知情的情況下促進未經授權的資金轉移。
研究人員報告稱,他們訪問了 ToxicPanda 的命令與控制 (C2) 面板。在這個中文介面中,操作員可以查看受感染設備的列表,包括型號和位置詳細信息,甚至可以將其從殭屍網路中刪除。該面板還使操作員能夠請求即時遠端存取設備以執行 ODF 活動。
ToxicPanda 可能處於網路犯罪分子的早期開發階段
ToxicPanda 尚未表現出更複雜或獨特的功能,這將使其分析更具挑戰性。然而,日誌資料、未使用的程式碼和偵錯檔案等元素表明,該惡意軟體可能處於開發的早期階段,或正在經歷重大的程式碼重構,特別是考慮到它與 TGToxic 的相似性。
