ToxicPanda: Китай проникна в банковата система на Европа и Южна Америка
През октомври 2024 година екипът на Cleafy откри нова злонамерена акция против Android, която е обвързвана с банковия троянски кон ToxicPanda, отличаващ се от останалите злонамерени приложения по метода си на работа.
Изследователите в началото свързаха зловредния програмен продукт с TgToxic, който се разпространяваше в Югоизточна Азия, само че се оказа, че ToxicPanda има друг код и нови функционалности, тъй че беше изолиран като обособен вирус. Основната цел на ToxicPanda е да поеме контрола над устройството, с цел да прави банкови преводи, употребявайки техниката On-Device Fraud (ODF). Това разрешава на троянския кон да заобиколи банковите системи за сигурност, предопределени да ревизират самоличността на клиента.
Експертите са разкрили, че ботнетът ToxicPanda към този момент е заразил повече от 1500 устройства в страни като Италия, Португалия, Испания и Перу. Освен това Италия е главният район на офанзивата, където към 57% от всички устройства са инфектирани. Атаките бяха ориентирани към 16 банки. Смята се, че основателите на вируса приказват китайски, което е необичайност за офанзивите, ориентирани към Европа и Латинска Америка.
Вирусът се популяризира посредством злонамерени приложения, които се маскират като добре познати стратегии от рода на Гугъл Chrome и Visa, или приложения за запознанства. По този метод нападателите подвеждат хората да конфигурират троянския кон. Съдейки по изходния код, създаването е на ранен стадий и някои команди в кода са обозначени единствено като „ празни “, без фактически осъществяване.
От техническа страна, ToxicPanda има редица благоприятни условия за хакерски атаки. Злонамереният програмен продукт може да ръководи отдалечено устройството, да има достъп до еднократните пароли, с цел да заобиколи двуфакторното засвидетелствуване и да скрие наличието си благодарение на комплицирани способи за камуфлаж. В същото време, за разлика от по-старите версии на TgToxic, ToxicPanda отстранява системата за автоматизиран превод, което опростява структурата на вируса.
Други функционалности на ToxicPanda включват опцията за скриване и блокиране на достъпа до систематичните настройки, потреблението на сигурността и ръководството на разрешенията. Такива функционалности оказват помощ да се скрие троянският кон на устройството и затрудняват премахването му.
Техническите аспекти на акцията удостоверяват, че зловредния програмен продукт е фокусиран върху директното взаимоотношение със инфектираните устройства, предоставяйки на операторите опция за ръчно ръководство и заобикаляне на банковата отбрана. Освен това троянецът записва и предава към C2-сървъра потребителските скрийншоти, което разрешава събиране на екранни фотоси, показващи идентификационните данни при влизане в банковото приложение.
Информацията от вируса е настроена по подобен метод, че употребява твърдо кодирани домейни за връзка с C2-сървъра. Този механизъм улеснява ръководството на ботнета, само че понижава гъвкавостта при положение, че домейните са блокирани. ToxicPanda също употребява криптиране за отбраната на трансферираните данни.
Достъпът до контролния панел на ботнета е разрешил на екипа на Cleafy да разбере по какъв начин хакерите управляват инфектираните устройства и правят лъжливи интервенции. Такава информация оказва помощ на анализаторите да разработят контрамерки и да предотвратят по-нататъшното разпространяване на вируса. ToxicPanda демонстрира, че заканите за банковите приложения в Европа и Латинска Америка нарастват и изисква от фирмите да засилят отбраната на мобилните устройства.
