Phần mềm độc hại ToxicPanda Mobile

Một biến thể mới của phần mềm độc hại ngân hàng Android, được gọi là ToxicPanda, đã lây nhiễm hơn 1.500 thiết bị Android, cho phép tội phạm mạng thực hiện các giao dịch ngân hàng gian lận. Mục tiêu chính của ToxicPanda là bắt đầu chuyển tiền trái phép từ các thiết bị bị xâm phạm thông qua chiếm đoạt tài khoản (ATO) bằng một kỹ thuật được gọi là gian lận trên thiết bị (ODF). Phương pháp này nhằm trốn tránh các biện pháp bảo mật của ngân hàng được thiết kế để xác minh danh tính của người dùng và phát hiện các mẫu giao dịch bất thường thông qua phân tích hành vi.

Các nhà nghiên cứu tin rằng ToxicPanda có nguồn gốc từ một tác nhân đe dọa nói tiếng Trung Quốc. Phần mềm độc hại này có những điểm tương đồng đáng chú ý với TgToxic , một phần mềm độc hại Android khác được xác định vào đầu năm 2023. TgToxic có khả năng đánh cắp thông tin đăng nhập và tiền từ ví tiền điện tử.

ToxicPanda nhắm mục tiêu vào nhiều quốc gia khác nhau

Phần lớn các ca nhiễm được phát hiện ở Ý (56,8%), tiếp theo là Bồ Đào Nha (18,7%), Hồng Kông (4,6%), Tây Ban Nha (3,9%) và Peru (3,4%). Đây là trường hợp bất thường khi một tác nhân đe dọa từ Trung Quốc nhắm vào người dùng ngân hàng bán lẻ ở cả Châu Âu và Châu Mỹ Latinh.

Trojan ngân hàng này dường như đang ở giai đoạn đầu, với phân tích cho thấy nó là phiên bản rút gọn của phiên bản tiền nhiệm. Các tính năng chính như Hệ thống chuyển tự động (ATS), Easyclick và các quy trình che giấu đã bị xóa, trong khi 33 lệnh mới đã được thêm vào để trích xuất nhiều dữ liệu hơn.

Hơn nữa, 61 lệnh được chia sẻ giữa TgToxic và ToxicPanda, cho thấy rằng cùng một tác nhân đe dọa hoặc những người liên quan chặt chẽ có khả năng đứng sau nhóm phần mềm độc hại này. Mặc dù ToxicPanda vẫn giữ một số điểm tương đồng về lệnh bot với nhóm TgToxic, nhưng mã của nó lại khác biệt đáng kể. Một số chức năng đặc trưng của TgToxic bị thiếu và một số lệnh có vẻ là trình giữ chỗ không có chức năng thực tế.

Trojan ngân hàng ToxicPanda hoạt động như thế nào?

Phần mềm độc hại ngụy trang thành các ứng dụng nổi tiếng như Google Chrome, Visa và 99 Speedmart, được phân phối thông qua các trang web giả mạo bắt chước danh sách cửa hàng ứng dụng hợp pháp. Vẫn chưa rõ các liên kết này được chia sẻ như thế nào hoặc liệu có liên quan đến các kỹ thuật như quảng cáo độc hại hoặc tin nhắn smishing hay không.

Sau khi cài đặt thông qua sideloading, ToxicPanda khai thác các dịch vụ trợ năng của Android để có được quyền cao hơn, tự động hóa dữ liệu đầu vào của người dùng và thu thập dữ liệu từ các ứng dụng khác. Nó có thể chặn mật khẩu một lần (OTP) được gửi qua SMS hoặc ứng dụng xác thực, cho phép kẻ tấn công bỏ qua xác thực hai yếu tố (2FA) và hoàn tất các giao dịch trái phép.

Ngoài việc thu thập dữ liệu, chức năng chính của phần mềm độc hại này cho phép kẻ tấn công điều khiển thiết bị bị xâm phạm từ xa và thực hiện gian lận trên thiết bị (ODF), tạo điều kiện cho việc chuyển tiền trái phép mà nạn nhân không hề hay biết.

Các nhà nghiên cứu báo cáo rằng họ đã truy cập vào bảng điều khiển Command-and-Control (C2) của ToxicPanda. Trong giao diện tiếng Trung này, người vận hành có thể xem danh sách các thiết bị bị nhiễm, bao gồm thông tin chi tiết về kiểu máy và vị trí, thậm chí xóa chúng khỏi botnet. Bảng điều khiển này cũng cho phép người vận hành yêu cầu truy cập từ xa theo thời gian thực vào các thiết bị để thực hiện các hoạt động ODF.

ToxicPanda có thể đang trong giai đoạn phát triển ban đầu của tội phạm mạng

ToxicPanda vẫn chưa thể hiện các khả năng tinh vi hoặc đặc biệt hơn khiến việc phân tích của nó trở nên khó khăn hơn. Tuy nhiên, các yếu tố như dữ liệu ghi nhật ký, mã chưa sử dụng và tệp gỡ lỗi cho thấy phần mềm độc hại có thể đang trong giai đoạn đầu phát triển hoặc đang trải qua quá trình tái cấu trúc mã đáng kể, đặc biệt là khi xem xét các điểm tương đồng của nó với TGToxic.