Lebih dari 1.500 perangkat Android telah terinfeksi oleh malware perbankan Android jenis baru yang disebut ToxicPanda yang memungkinkan pelaku ancaman melakukan penipuan transaksi perbankan.
“Tujuan utama ToxicPanda adalah memulai transfer uang dari perangkat yang disusupi melalui pengambilalihan akun (ATO) menggunakan teknik terkenal yang disebut penipuan pada perangkat (ODF),” kata peneliti Cleafy Michele Roviello, Alessandro Strino, dan Federico Valentini dalam analisisnya pada hari Senin. .
“Hal ini bertujuan untuk melewati tindakan pencegahan bank yang digunakan untuk menegakkan verifikasi dan otentikasi identitas pengguna, dikombinasikan dengan teknik deteksi perilaku yang diterapkan oleh bank untuk mengidentifikasi transfer uang yang mencurigakan.”
ToxicPanda diyakini merupakan hasil karya aktor ancaman berbahasa Mandarin, dengan malware tersebut memiliki kesamaan mendasar dengan malware Android lainnya yang dijuluki TgToxic, yang dapat mencuri kredensial dan dana dari dompet kripto. TgToxic didokumentasikan oleh Trend Micro pada awal tahun 2023.
Mayoritas kompromi telah dilaporkan di Italia (56,8%), diikuti oleh Portugal (18,7%), Hong Kong (4,6%), Spanyol (3,9%), dan Peru (3,4%), yang merupakan contoh langka dari tindakan Tiongkok. aktor ancaman yang mengatur skema penipuan untuk menargetkan pengguna perbankan ritel di Eropa dan Amerika Latin.
Trojan perbankan juga tampaknya masih dalam tahap awal. Analisis menunjukkan bahwa ini adalah versi sederhana dari pendahulunya, menghapus Sistem Transfer Otomatis (ATS), Easyclick, dan rutinitas kebingungan, sekaligus memperkenalkan 33 perintah baru untuk memanen berbagai macam data.
Selain itu, sebanyak 61 perintah ditemukan umum pada TgToxic dan ToxicPanda, yang menunjukkan bahwa pelaku ancaman yang sama atau afiliasi dekatnya berada di balik keluarga malware baru.
“Meskipun memiliki kesamaan perintah bot dengan keluarga TgToxic, kode tersebut sangat berbeda dari sumber aslinya,” kata para peneliti. “Banyak karakteristik kemampuan TgToxic yang tidak ada, dan beberapa perintah muncul sebagai pengganti tanpa implementasi nyata.”
Malware ini menyamar sebagai aplikasi populer seperti Google Chrome, Visa, dan 99 Speedmart, dan didistribusikan melalui halaman palsu yang meniru halaman daftar toko aplikasi. Saat ini belum diketahui bagaimana tautan ini disebarkan dan apakah tautan tersebut melibatkan teknik malvertising atau smishing.
Setelah diinstal melalui sideload, ToxicPanda menyalahgunakan layanan aksesibilitas Android untuk mendapatkan izin yang lebih tinggi, memanipulasi input pengguna, dan mengambil data dari aplikasi lain. Hal ini juga dapat mencegat kata sandi satu kali (OTP) yang dikirim melalui SMS atau dibuat menggunakan aplikasi autentikator, sehingga memungkinkan pelaku ancaman untuk melewati perlindungan otentikasi dua faktor (2FA) dan menyelesaikan transaksi penipuan.
Fungsi inti dari malware ini, selain kemampuannya untuk mengumpulkan informasi, adalah untuk memungkinkan penyerang mengontrol perangkat yang disusupi dari jarak jauh dan melakukan apa yang disebut ODF, yang memungkinkan untuk melakukan transfer uang tanpa izin tanpa sepengetahuan korban.
Cleafy mengatakan pihaknya bisa mendapatkan akses ke panel perintah dan kontrol (C2) ToxicPanda, sebuah antarmuka grafis yang disajikan dalam bahasa China yang memungkinkan operator melihat daftar perangkat korban, termasuk informasi model, dan lokasi, dan menghapusnya dari kap mesin. Selain itu, panel berfungsi sebagai saluran untuk meminta akses jarak jauh secara real-time ke perangkat mana pun untuk melakukan ODF.
“ToxicPanda perlu menunjukkan kemampuan yang lebih canggih dan unik yang akan mempersulit analisisnya,” kata para peneliti. “Namun, artefak seperti informasi logging, kode mati, dan file debugging menunjukkan bahwa malware tersebut mungkin masih dalam tahap awal pengembangan atau menjalani pemfaktoran ulang kode secara ekstensif—terutama mengingat kemiripannya dengan TGToxic.”
Perkembangan ini terjadi ketika sekelompok peneliti dari Institut Teknologi Georgia, Universitas Internasional Jerman, dan Universitas Kyung Hee merinci layanan analisis malware backend yang disebut DVa – kependekan dari Detektor Aksesibilitas Khusus Korban – untuk menandai malware yang mengeksploitasi fitur aksesibilitas di perangkat Android. .
“Dengan menggunakan jejak eksekusi dinamis, DVa selanjutnya menggunakan strategi eksekusi simbolis yang dipandu oleh vektor pelecehan untuk mengidentifikasi dan menghubungkan rutinitas pelecehan dengan para korban,” kata mereka. “Akhirnya DVa mendeteksi [accessibility]-mekanisme persistensi yang diberdayakan untuk memahami bagaimana malware menghalangi pertanyaan hukum atau upaya penghapusan.”