Nieuwe Android Banking-malware ‘ToxicPanda’ richt zich op gebruikers met frauduleuze geldoverdrachten

Meer dan 1.500 Android-apparaten zijn geïnfecteerd door een nieuwe soort Android-banking-malware genaamd ToxicPanda, waarmee bedreigingsactoren frauduleuze banktransacties kunnen uitvoeren.

“Het belangrijkste doel van ToxicPanda is het initiëren van geldoverdrachten vanaf gecompromitteerde apparaten via accountovername (ATO) met behulp van een bekende techniek die fraude op het apparaat (ODF) wordt genoemd”, zeiden Cleafy-onderzoekers Michele Roviello, Alessandro Strino en Federico Valentini in een analyse van maandag. .

“Het is bedoeld om tegenmaatregelen van banken te omzeilen die worden gebruikt om de identiteitsverificatie en authenticatie van gebruikers af te dwingen, gecombineerd met gedragsdetectietechnieken die door banken worden toegepast om verdachte geldoverdrachten te identificeren.”

Er wordt aangenomen dat ToxicPanda het werk is van een Chineessprekende bedreigingsacteur, waarbij de malware fundamentele overeenkomsten deelt met een andere Android-malware genaamd TgToxic, die inloggegevens en geld uit crypto-wallets kan stelen. TgToxic werd begin 2023 gedocumenteerd door Trend Micro.

Het merendeel van de compromissen is gerapporteerd in Italië (56,8%), gevolgd door Portugal (18,7%), Hong Kong (4,6%), Spanje (3,9%) en Peru (3,4%), wat een zeldzaam voorbeeld is van een Chinese Een bedreigingsacteur die een frauduleus plan orkestreert om gebruikers van retailbanking in Europa en Latijns-Amerika aan te vallen.

Ook de banktrojan lijkt zich in de kinderschoenen te bevinden. Uit analyse blijkt dat het een uitgeklede versie van zijn voorouder is, waarbij Automatic Transfer System (ATS), Easyclick en verduisteringsroutines zijn verwijderd, terwijl ook 33 nieuwe eigen commando’s zijn geïntroduceerd om een ​​breed scala aan gegevens te verzamelen.

Bovendien zijn maar liefst 61 commando’s gemeenschappelijk gebleken voor zowel TgToxic als ToxicPanda, wat erop wijst dat dezelfde dreigingsactor of hun nauwe verwanten achter de nieuwe malwarefamilie zitten.

“Hoewel het enkele overeenkomsten vertoont met de TgToxic-familie, wijkt de code aanzienlijk af van de oorspronkelijke bron”, aldus de onderzoekers. “Veel mogelijkheden die kenmerkend zijn voor TgToxic ontbreken met name, en sommige commando’s verschijnen als tijdelijke aanduidingen zonder echte implementatie.”

Android Banking-malware

De malware doet zich voor als populaire apps zoals Google Chrome, Visa en 99 Speedmart en wordt verspreid via nagemaakte pagina’s die de vermeldingspagina’s van de app-winkel nabootsen. Het is momenteel niet bekend hoe deze links worden verspreid en of er sprake is van malvertising- of smishing-technieken.

Eenmaal geïnstalleerd via sideloading, misbruikt ToxicPanda de toegankelijkheidsservices van Android om verhoogde rechten te verkrijgen, gebruikersinvoer te manipuleren en gegevens van andere apps vast te leggen. Het kan ook eenmalige wachtwoorden (OTP’s) onderscheppen die via sms worden verzonden of worden gegenereerd met behulp van authenticator-apps, waardoor de bedreigingsactoren de bescherming tegen tweefactorauthenticatie (2FA) kunnen omzeilen en frauduleuze transacties kunnen voltooien.

De kernfunctionaliteit van de malware, naast het vermogen om informatie te verzamelen, is om aanvallers in staat te stellen het aangetaste apparaat op afstand te besturen en zogenaamde ODF uit te voeren, wat het mogelijk maakt om ongeautoriseerde geldoverdrachten te initiëren zonder medeweten van het slachtoffer.

Cleafy zei dat het toegang kon krijgen tot het command-and-control (C2)-paneel van ToxicPanda, een grafische interface in het Chinees waarmee de operators de lijst met slachtofferapparaten kunnen bekijken, inclusief de modelinformatie en locatie, en deze kunnen verwijderen van de motorkap. Bovendien dient het paneel als kanaal voor het aanvragen van realtime toegang op afstand tot elk van de apparaten voor het uitvoeren van ODF.

“ToxicPanda moet meer geavanceerde en unieke mogelijkheden demonstreren die de analyse ervan zouden bemoeilijken”, aldus de onderzoekers. “Artefacten zoals loginformatie, dode code en foutopsporingsbestanden suggereren echter dat de malware zich in een vroeg ontwikkelingsstadium bevindt of uitgebreide code-refactoring ondergaat, vooral gezien de overeenkomsten met TGToxic.”

De ontwikkeling komt doordat een groep onderzoekers van het Georgia Institute of Technology, de Duitse Internationale Universiteit en de Kyung Hee Universiteit een backend-malware-analyseservice heeft uitgewerkt, genaamd DVa – een afkorting van Detector of Victim-specific Accessibility – om malware te signaleren die gebruik maakt van toegankelijkheidsfuncties op Android-apparaten .

“Door gebruik te maken van dynamische executiesporen maakt DVa verder gebruik van een op misbruikvectoren gebaseerde symbolische executiestrategie om misbruikroutines te identificeren en toe te schrijven aan slachtoffers”, zeiden ze. “Ten slotte detecteert DVa door (toegankelijkheid) ondersteunde persistentiemechanismen om te begrijpen hoe malware juridische vragen of verwijderingspogingen belemmert.”

Thijs Van der Does