Mais de 1.500 dispositivos Android foram infectados com uma nova variedade de malware bancário Android chamado ToxicPanda, que permite que atores mal-intencionados realizem transações bancárias fraudulentas.
“O principal objetivo do ToxicPanda é iniciar transferências de dinheiro de dispositivos vulneráveis por meio de controle de conta (ATO) usando um método conhecido chamado fraude no dispositivo (ODF)”, disseram os pesquisadores da Cleafy Michele Roviello, Alessandro Strino e Federico Valentini em uma análise de segunda-feira. .
“O objetivo é contornar as medidas antibancárias usadas para impor a verificação e autenticação da identidade do usuário, combinadas com métodos de detecção comportamental usados pelos bancos para identificar transferências de dinheiro suspeitas”.
Acredita-se que o ToxicPanda seja o trabalho de um ator de ameaças que fala chinês, onde o malware compartilha semelhanças básicas com outro malware Android chamado TgToxic, que pode roubar informações e fundos de carteiras criptografadas. TgToxic foi escrito pela Trend Micro no início de 2023.
A maior parte das descidas foi registada em Itália (56,8%), seguida por Portugal (18,7%), Hong Kong (4,6%), Espanha (3,9%) e Peru (3,4%), marcando um fenómeno chinês raro. um ator ameaçador que organiza um esquema fraudulento para atingir usuários de bancos de varejo na Europa e na América Latina.
O Trojan bancário também parece estar em seus estágios iniciais. A análise mostra que é uma versão simplificada de seu antecessor, removendo o Sistema de Transferência Automática (ATS), Easyclick e rotinas de ofuscação, ao mesmo tempo que introduz seus 33 novos comandos para coletar grandes quantidades de dados.
Além disso, descobriu-se que 61 comandos são comuns ao TgToxic e ao ToxicPanda, indicando que o mesmo ator de ameaça ou alguém próximo está por trás da nova família de malware.
“Embora compartilhe algumas semelhanças de comando de bot com a família TgToxic, o código difere significativamente de sua fonte original”, disseram os pesquisadores. “Muitas das habilidades do TgToxic estão visivelmente ausentes e alguns comandos aparecem como espaços reservados sem implementação real.”
O malware se faz passar por aplicativos populares como Google Chrome, Visa e 99 Speedmart e é distribuído por meio de páginas falsas que imitam as páginas de listagem da app store. Atualmente não se sabe como esses links são distribuídos e se incluem técnicas ou truques maliciosos.
Uma vez instalado via sideload, o ToxicPanda abusa dos serviços de acessibilidade do Android para obter permissões elevadas, manipular a entrada do usuário e capturar dados de outros aplicativos. Ele também pode capturar senhas de uso único (OTPs) enviadas via SMS ou geradas por meio de aplicativos de autenticação, permitindo assim que atores mal-intencionados contornem as proteções de autenticação de dois fatores (2FA) e concluam transações fraudulentas.
A principal tarefa do malware, além da capacidade de coletar informações, é permitir que invasores controlem remotamente o dispositivo comprometido e criem o chamado ODF, que possibilita iniciar transferências de dinheiro não autorizadas sem o conhecimento da vítima.
Cleafy disse que conseguiu acessar o painel de comando e controle (C2) do ToxicPanda, uma interface gráfica apresentada em chinês que permite aos operadores ver uma lista de dispositivos comprometidos, incluindo informações de modelo e localização, e remover o capô. Além disso, o painel serve como gateway para solicitar acesso remoto em tempo real a quaisquer dispositivos que executem ODF.
“O ToxicPanda precisa demonstrar capacidades avançadas e únicas que dificultariam sua análise”, disseram os pesquisadores. “No entanto, artefatos como informações de registro, código morto e arquivos de depuração sugerem que o malware está em seus estágios iniciais de desenvolvimento ou passou por refatoração de código – especialmente devido às suas semelhanças com o TGToxic.”
O desenvolvimento ocorre no momento em que um grupo de pesquisadores do Instituto de Tecnologia da Geórgia, da Universidade Internacional Alemã e da Universidade Kyung Hee descreve um serviço de análise de malware chamado DVa – abreviação de Detector de Acessibilidade Específica da Vítima – para sinalizar malware usando recursos de acessibilidade no Android. dispositivos. .
“Usando rastreamentos de execução poderosos, o DVa também usa uma estratégia de execução direcionada por vetor para identificar e atribuir às vítimas os meios de abuso”, disseram. “Finalmente, DVa descobre [accessibility]-permite métodos de persistência para entender como o malware resiste a investigações legais ou esforços de remoção.”
