超过1500台安卓设备感染了一种名为ToxicPanda的新型安卓银行恶意软件,该恶意软件允许威胁者进行欺诈性银行交易。
ToxicPanda的主要目标是利用一种名为 “设备上欺诈(ODF)”的著名技术,通过账户接管(ATO)从受攻击设备上发起转账,”Cleafy研究人员Michele Roviello、Alessandro Strino和Federico Valentini在周一的一份分析报告中说。
“它的目的是绕过银行用于执行用户身份验证和认证的反制措施,并结合银行用于识别可疑转账的行为检测技术。”
ToxicPanda被认为是一个说中文的威胁行为者所为,该恶意软件与另一个被称为TgToxic的安卓恶意软件有基本相似之处,后者可以从加密钱包中窃取凭证和资金。趋势科技于 2023 年初记录了 TgToxic。
据报告,大多数入侵事件发生在意大利(56.8%),其次是葡萄牙(18.7%)、香港(4.6%)、西班牙(3.9%)和秘鲁(3.4%),这是中国威胁行为者针对欧洲和拉丁美洲零售银行用户策划欺诈计划的罕见案例。
该银行木马似乎还处于初级阶段。分析显示,它是其祖先的精简版,删除了自动传输系统 (ATS)、Easyclick 和混淆例程,同时还引入了 33 个新命令来获取各种数据。
此外,多达 61 条命令被发现与 TgToxic 和 ToxicPanda 相同,这表明新恶意软件家族的幕后黑手是同一个威胁行为体或与其关系密切的附属机构。
研究人员说:“虽然它与 TgToxic 系列有一些僵尸命令相似之处,但代码与其原始源代码有很大差异。”研究人员说:“TgToxic 所特有的许多功能都明显不存在,而且有些命令看起来就像占位符,没有真正实现。”
该恶意软件伪装成谷歌浏览器、Visa 和 99 Speedmart 等流行应用程序,并通过模仿应用程序商店列表页面的伪造页面进行传播。目前尚不清楚这些链接是如何传播的,是否涉及恶意广告或钓鱼技术。
一旦通过侧载安装,ToxicPanda 就会滥用安卓的可访问性服务来获取更高的权限,操纵用户输入,并从其他应用程序中获取数据。它还可以拦截通过短信发送或使用验证器应用程序生成的一次性密码(OTP),从而使威胁行为者能够绕过双因素身份验证(2FA)保护,完成欺诈性交易。
该恶意软件的核心功能除了获取信息外,还允许攻击者远程控制被入侵的设备,并执行所谓的ODF,从而在受害者不知情的情况下发起未经授权的转账。
Cleafy说,它能够访问ToxicPanda的命令与控制(C2)面板,这是一个用中文显示的图形界面,允许操作员查看受害设备的列表,包括型号信息和位置,并将它们从引擎盖上移除。此外,该面板还可作为请求实时远程访问任何设备以进行 ODF 的渠道。
研究人员说:“ToxicPanda 需要展示更先进、更独特的能力,这将使其分析变得更加复杂。然而,日志信息、死代码和调试文件等人工制品表明,该恶意软件可能处于早期开发阶段,或者正在进行大量代码重构–特别是考虑到它与 TGToxic 的相似性。”
佐治亚理工学院、德国国际大学和庆熙大学的一组研究人员详细介绍了一种名为DVa(Detector of Victim-specific Accessibility的缩写)的后台恶意软件分析服务,以标记利用安卓设备辅助功能的恶意软件。
他们说:“DVa使用动态执行跟踪,进一步利用滥用向量引导的符号执行策略来识别滥用例程并将其归属于受害者。“最后,DVa检测了[可访问性]授权的持久机制,以了解恶意软件是如何阻碍合法查询或删除尝试的。”
发表评论
您还未登录,请先登录。
登录