“Cleafy”研究员发现了一种新的 Android 银行木马病毒,称为“ToxicPanda”,已经感染了超过 1500 台 Android 设备。 ToxicPanda 木马病毒与 TgToxic trojan 家族的 bot 命令相似,但其恶意代码与 TgToxic 的原始代码大不相同。该 Android 木马病毒旨在启动账户劫持和从感染设备执行欺诈性资金转移。使用 On-Device Fraud (ODF) 技术,它绕过了银行安全措施,包括身份验证和行为检测。虽然 ToxicPanda 还处于早期开发阶段,但已经感染了意大利、葡萄牙、西班牙和拉丁美洲的数千台设备,目标是 16 家银行。研究员推测,背后这次木马病毒攻击的威胁actor可能是中国语言的人员,类似于 TgToxic 攻击的背后人员。
ToxicPanda 的主要目标是通过账户劫持(ATO)使用 On-Device fraud(ODF)技术从受感染设备发起资金转移。它旨在绕过银行的身份验证和身份验证措施,结合银行对疑似资金转移的行为检测技术。根据 Cleafy 发布的报告,这款木马病毒的源代码表明,它仍处于早期开发阶段,有些命令只是占位符,没有实际实现。
ToxicPanda 类似于其他银行 trojans,如 Medusa、BingoMod 和 Copybara,使用的是手动方法,攻击者可以目标任何银行客户,需要较少的技术技能,并帮助他们绕过银行的行为检测防御。从技术角度,这款木马病毒的能力较少,特别是与现代银行 trojans 相比。然而,ToxicPanda 和 TgToxic 之间的差异很吸引人。多数命令都是没有实现或糟糕的重构,这表明 TgToxic 仅仅是 ToxicPanda 的一个基本模板。
ToxicPanda 木马病毒使用 Android 的访问性服务获取高权限,允许远程控制欺诈性交易和账户修改。该 Android 木马病毒可以截获一次性密码(OTPs)绕过两因素身份验证(2FA),并使用高级混淆技术躲避检测,使其非常有效地进行银行欺诈通过 On-Device Fraud(ODF)。 ToxicPanda 还可以访问手机相册,转换图片到 BASE64,传输回 C2 服务器。这种技术已经在其他 malware 中观察到,允许从受感染设备中收集潜在敏感信息(例如,包含登录密码或虚拟卡的截图)。
原文始发于微信公众号(黑猫安全):“ToxicPanda”安卓银行木马病毒瞄准欧洲和拉丁美洲,尤其集中攻击意大利
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论