ToxicPanda मोबाइल मालवेयर
एन्ड्रोइड बैंकिङ मालवेयरको नयाँ स्ट्रेन, डब टक्सिकपान्डाले १,५०० भन्दा बढी एन्ड्रोइड उपकरणहरू संक्रमित गरेको छ, जसले साइबर अपराधीहरूलाई जालसाजीपूर्ण बैंकिङ कारोबारहरू गर्न सक्षम पारेको छ। ToxicPanda को प्राथमिक उद्देश्य अन-डिभाइस फ्रड (ODF) भनेर चिनिने प्रविधि प्रयोग गरेर खाता टेकओभर (ATO) मार्फत सम्झौता गरिएका यन्त्रहरूबाट अनाधिकृत पैसा स्थानान्तरण सुरु गर्नु हो। यो विधिले प्रयोगकर्ताहरूको पहिचान प्रमाणित गर्न र व्यवहार विश्लेषण मार्फत असामान्य लेनदेन ढाँचाहरू पत्ता लगाउन डिजाइन गरिएको बैंक सुरक्षा उपायहरू बेवास्ता गर्न खोज्छ।
अनुसन्धानकर्ताहरूले विश्वास गर्छन् कि ToxicPanda चिनियाँ भाषा बोल्ने खतरा अभिनेताबाट उत्पन्न भएको हो। मालवेयरमा २०२३ को सुरुमा पहिचान गरिएको अर्को एन्ड्रोइड मालवेयर TgToxic सँग उल्लेखनीय समानताहरू छन्। TgToxic ले क्रिप्टोकरन्सी वालेटहरूबाट प्रमाणहरू र रकम चोर्न सक्षम छ।
सामग्रीको तालिका
ToxicPanda ले देशहरूको विविध सेटलाई लक्षित गर्दछ
सबैभन्दा धेरै संक्रमण इटाली (५६.८%), पोर्चुगल (१८.७%), हङकङ (४.६%), स्पेन (३.९%), र पेरु (३.४%) मा देखिएको छ। यो एक असामान्य मामला हो जहाँ एक चिनियाँ खतरा अभिनेताले युरोप र ल्याटिन अमेरिका दुवैमा खुद्रा बैंकिङ प्रयोगकर्ताहरूलाई लक्षित गरेको छ।
यो बैंकिङ ट्रोजन यसको प्रारम्भिक चरणहरूमा देखिन्छ, विश्लेषणले यसलाई यसको पूर्ववर्तीको एक pared-डाउन संस्करणको रूपमा प्रकट गर्दछ। मुख्य सुविधाहरू जस्तै स्वचालित स्थानान्तरण प्रणाली (ATS), Easyclick, र obfuscation दिनचर्याहरू हटाइएका छन्, जबकि 33 नयाँ आदेशहरू डेटाको फराकिलो दायरा निकाल्न थपिएका छन्।
यसबाहेक, 61 आदेशहरू TgToxic र ToxicPanda बीच साझेदारी गरिएको छ, सुझाव दिन्छ कि उही खतरा अभिनेता वा नजिकका सहयोगीहरू यस मालवेयर परिवारको पछाडि हुन सक्छन्। यद्यपि ToxicPanda ले TgToxic परिवारसँग केही बोट आदेश समानताहरू राख्छ, यसको कोड महत्त्वपूर्ण रूपमा भिन्न हुन्छ। TgToxic को विशिष्ट धेरै प्रकार्यहरू हराइरहेका छन्, र केहि आदेशहरू कुनै वास्तविक कार्यक्षमता बिना प्लेसहोल्डर जस्तो देखिन्छ।
ToxicPanda बैंकिङ ट्रोजन कसरी काम गर्छ?
मालवेयरले गुगल क्रोम, भिसा, र 99 स्पीडमार्ट जस्ता प्रख्यात एप्लिकेसनहरूको रूपमा भेष धारण गर्दछ, नक्कली वेबसाइटहरू मार्फत वितरण गरिन्छ जसले वैध एप स्टोर सूचीहरूको नक्कल गर्दछ। यो अस्पष्ट रहन्छ कि यी लिङ्कहरू कसरी साझेदारी गरिँदै छन् वा यदि malvertising वा स्मिसिङ जस्ता प्रविधिहरू संलग्न छन्।
एक पटक साइडलोडिङ मार्फत स्थापना भएपछि, ToxicPanda ले उन्नत अनुमतिहरू प्राप्त गर्न, प्रयोगकर्ता इनपुटहरू स्वचालित गर्न, र अन्य अनुप्रयोगहरूबाट डाटा क्याप्चर गर्न एन्ड्रोइडको पहुँच सेवाहरूको शोषण गर्दछ। यसले एसएमएस वा प्रमाणक एपहरू मार्फत पठाइएका एक-पटके पासवर्डहरू (OTPs) रोक्न सक्छ, जसले आक्रमणकारीहरूलाई दुई-कारक प्रमाणीकरण (2FA) लाई बाइपास गर्न र अनधिकृत लेनदेनहरू पूरा गर्न अनुमति दिन्छ।
डाटा सङ्कलनभन्दा बाहिर, मालवेयरको प्राथमिक कार्यले आक्रमणकारीहरूलाई सम्झौता गरिएको यन्त्रलाई टाढाबाट नियन्त्रण गर्न र अन-डिभाइस फ्रड (ODF) कार्यान्वयन गर्न सक्षम बनाउँछ, पीडितको सचेतना बिना अनधिकृत पैसा स्थानान्तरणलाई सहज बनाउँछ।
अनुसन्धानकर्ताहरूले रिपोर्ट गरे कि तिनीहरूले ToxicPanda को कमाण्ड-एन्ड-कन्ट्रोल (C2) प्यानल पहुँच गरे। यस चिनियाँ भाषाको इन्टरफेसमा, अपरेटरहरूले मोडेल र स्थान विवरणहरू सहित संक्रमित उपकरणहरूको सूची हेर्न सक्छन्, र तिनीहरूलाई बोटनेटबाट हटाउन पनि सक्छन्। प्यानलले अपरेटरहरूलाई ODF गतिविधिहरू कार्यान्वयन गर्न यन्त्रहरूमा वास्तविक-समय रिमोट पहुँच अनुरोध गर्न सक्षम बनाउँछ।
ToxicPanda साइबर अपराधीहरू द्वारा प्रारम्भिक विकासमा हुन सक्छ
ToxicPanda ले अझै धेरै परिष्कृत वा विशिष्ट क्षमताहरू प्रदर्शन गर्न सकेको छैन जसले यसको विश्लेषणलाई अझ चुनौतीपूर्ण बनाउनेछ। यद्यपि, लगिङ डाटा, अप्रयुक्त कोड, र डिबगिङ फाइलहरू जस्ता तत्वहरूले मालवेयर विकासको प्रारम्भिक चरणमा वा महत्त्वपूर्ण कोड रिफ्याक्टरिङबाट गुज्रिरहेको हुन सक्छ, विशेष गरी TGToxic सँग यसको समानताहरू विचार गर्दै।
