一种名为“ToxicPanda”的新型安卓(Android)银行木马已开始在欧洲和拉丁美洲传播,主要针对具有先进账户接管和金融欺诈技术的银行机构。
该恶意软件由 Cleafy 的威胁情报团队于 2024 年 10 月下旬发现,源自之前在东南亚发现的类似恶意软件家族 TgToxic。
虽然 TgToxic 的传播范围有限,但 ToxicPanda 已成功感染意大利、葡萄牙、西班牙、法国和秘鲁的 1,500 多台设备。
这是使用中文的网络攻击者将银行欺诈活动扩展到亚洲以外的罕见案例。
恶意软件用来伪装 Cleafy 的图标
ToxicPanda 的功能
ToxicPanda 利用一系列工具进行“设备欺诈”(ODF),允许攻击者直接从受感染的设备发起未经授权的交易。
这种策略通过利用设备访问权限来模仿合法用户行为,从而绕过安全措施。
该恶意软件的功能包括:
辅助功能服务滥用:ToxicPanda 使用 Android 的辅助功能来操纵设置、控制输入字段以及在银行应用程序中执行隐藏操作。
远程控制:通过完全的远程访问权限,攻击者可以与受感染的设备进行交互,进行欺诈交易并修改帐户设置。
OTP 拦截:ToxicPanda 拦截通过 SMS 或基于应用程序的身份验证器发送的一次性密码,绕过双因素身份验证并促进未经授权的交易。
扩张与演化
Cleafy 报告称,此次恶意软件活动有一个活跃的僵尸网络控制受感染的设备,其中意大利被确定为主要热点,占 50% 以上,其次是葡萄牙和西班牙。
这种分布表明其开发人员的战略发生了转变,他们正在调整其运营以针对欧洲金融机构。
据 Cleafy 称,ToxicPanda 背后的攻击者似乎讲中文,这对于针对欧洲和拉丁美洲的银行欺诈行为来说并不常见。
虽然代码与 TgToxic 相似,但许多功能似乎尚未开发,这表明该恶意软件尚处于早期阶段或正在适应新的目标地区。
ToxicPanda Cleafy支持的命令
ToxicPanda 是其前身的一个高级但简化的版本,缺少一些复杂的混淆功能,而是依赖于一些硬编码的命令和控制 (C2) 域(例如 dksu[.]top 和 mixcom[.]one)。
该恶意软件使用 AES 加密进行通信,但其静态配置凸显了持续改进的必要性。
这种简单性可能是由于欧洲的监管挑战(例如 PSD2)以及针对西方银行基础设施的限制。
ToxicPanda 运营的关键在于其使用 C2 基础设施,使欺诈者能够监控和控制受感染的设备。
通过专用的“机器管理”界面,威胁行为者可以跟踪每台受感染设备的状态、位置和设备规格,从而可以针对特定区域进行欺诈。
受感染设备的安全和配置更改也会受到监控,这些更改可能会阻碍欺诈活动,从而使攻击者能够保持持续访问。
管理面板远程控制受害者设备
ToxicPanda 在东南亚以外的地区出现,凸显了区域网络犯罪扩张的趋势。
由于该恶意软件仍处于进化阶段,因此密切关注更新并增强 Android 设备保护对于减轻这种新兴银行木马带来的风险仍然至关重要。
安卓手机用户可以通过仅从 Google Play Store 下载应用程序、在其设备上保持 Play Protect 处于活动状态以及使用多因素身份验证保护其银行账户来最大限度地降低风险。
深入探究 ToxicPanda C2 面板
面板登录页面
系统管理界面
受害者名单及详情
附录 1:恶意软件命令
附录 2:攻击指标 (IOC)
更多信息浏览以下网址获取:
https://www.cleafy.com/cleafy-labs/toxicpanda-a-new-banking-trojan-from-asia-hit-europe-and-latam
原文始发于微信公众号(网络研究观):新型安卓手机银行木马正在欧洲传播
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论