Mais de 1.500 dispositivos Android foram infectados por uma nova variedade de malware bancário Android chamado ToxicPanda, que permite que agentes de ameaças realizem transações bancárias fraudulentas.
“O principal objetivo do ToxicPanda é iniciar transferências de dinheiro de dispositivos comprometidos por meio de controle de conta (ATO) usando uma técnica bem conhecida chamada fraude no dispositivo (ODF)”, disseram os pesquisadores da Cleafy Michele Roviello, Alessandro Strino e Federico Valentini em uma análise de segunda-feira. .
“O objetivo é contornar as contramedidas bancárias usadas para impor a verificação e autenticação da identidade dos usuários, combinadas com técnicas de detecção comportamental aplicadas pelos bancos para identificar transferências de dinheiro suspeitas”.
Acredita-se que o ToxicPanda seja o trabalho de um ator de ameaças que fala chinês, com o malware compartilhando semelhanças fundamentais com outro malware Android chamado TgToxic, que pode roubar credenciais e fundos de carteiras criptografadas. O TgToxic foi documentado pela Pattern Micro no início de 2023.
A maioria dos compromissos foi relatada na Itália (56,8%), seguida por Portugal (18,7%), Hong Kong (4,6%), Espanha (3,9%) e Peru (3,4%), marcando um caso raro de um problema chinês. ator de ameaça orquestrando um esquema fraudulento para atingir usuários de bancos de varejo na Europa e na América Latina.
O trojan bancário também parece estar em fase inicial. A análise mostra que é uma versão simplificada de seu ancestral, removendo o Sistema de Transferência Automática (ATS), Easyclick e rotinas de ofuscação, ao mesmo tempo que introduz 33 novos comandos próprios para coletar uma ampla gama de dados.
Além disso, descobriu-se que até 61 comandos são comuns ao TgToxic e ao ToxicPanda, indicando que o mesmo agente da ameaça ou seus afiliados próximos estão por trás da nova família de malware.
“Embora compartilhe algumas semelhanças de comando de bot com a família TgToxic, o código diverge consideravelmente de sua fonte authentic”, disseram os pesquisadores. “Muitos recursos característicos do TgToxic estão notavelmente ausentes e alguns comandos aparecem como espaços reservados sem implementação actual.”
O malware se disfarça de aplicativos populares como Google Chrome, Visa e 99 Speedmart e é distribuído por meio de páginas falsificadas que imitam páginas de listagem de lojas de aplicativos. Atualmente não se sabe como esses hyperlinks são propagados e se envolvem técnicas de malvertising ou smishing.
Uma vez instalado through sideload, o ToxicPanda abusa dos serviços de acessibilidade do Android para obter permissões elevadas, manipular entradas do usuário e capturar dados de outros aplicativos. Ele também pode interceptar senhas de uso único (OTPs) enviadas through SMS ou geradas usando aplicativos autenticadores, permitindo assim que os agentes da ameaça contornem as proteções de autenticação de dois fatores (2FA) e concluam transações fraudulentas.
A principal funcionalidade do malware, além da capacidade de coletar informações, é permitir que invasores controlem remotamente o dispositivo comprometido e realizem o chamado ODF, que possibilita iniciar transferências de dinheiro não autorizadas sem o conhecimento da vítima.
Cleafy disse que conseguiu obter acesso ao painel de comando e controle (C2) do ToxicPanda, uma interface gráfica apresentada em chinês que permite aos operadores visualizar a lista de dispositivos vítimas, incluindo informações de modelo e localização, e removê-los de o capô. Além disso, o painel serve como um canal para solicitar acesso remoto em tempo actual a qualquer um dos dispositivos para condução de ODF.
“O ToxicPanda precisa demonstrar capacidades mais avançadas e únicas que complicariam a sua análise”, disseram os pesquisadores. “No entanto, artefatos como informações de registro, código morto e arquivos de depuração sugerem que o malware pode estar em seus estágios iniciais de desenvolvimento ou passando por extensa refatoração de código – especialmente devido às suas semelhanças com o TGToxic.”
O desenvolvimento ocorre quando um grupo de pesquisadores do Instituto de Tecnologia da Geórgia, da Universidade Internacional Alemã e da Universidade Kyung Hee detalha um serviço de análise de malware de back-end chamado DVa – abreviação de Detector de Acessibilidade Específica da Vítima – para sinalizar malware que explora recursos de acessibilidade em dispositivos Android. .
“Usando rastreamentos de execução dinâmicos, o DVa utiliza ainda uma estratégia de execução simbólica guiada por vetores de abuso para identificar e atribuir rotinas de abuso às vítimas”, disseram eles. “Finalmente, o DVa detecta mecanismos de persistência habilitados para (acessibilidade) para entender como o malware obstrui consultas legais ou tentativas de remoção.”
