ToxicPanda モバイル マルウェア

ToxicPanda と呼ばれる Android バンキング マルウェアの新種が 1,500 台以上の Android デバイスに感染し、サイバー犯罪者が不正な銀行取引を実行できるようになりました。ToxicPanda の主な目的は、オンデバイス詐欺 (ODF) と呼ばれる手法を使用して、アカウント乗っ取り (ATO) により、侵害されたデバイスから不正な送金を開始することです。この手法は、ユーザーの身元を確認し、行動分析を通じて異常な取引パターンを検出するように設計された銀行のセキュリティ対策を回避することを目的としています。

研究者らは、ToxicPanda は中国語を話す脅威アクターが作成したものだと考えています。このマルウェアは、2023 年初頭に特定された別の Android マルウェアであるTgToxicと顕著な類似点があります。TgToxic は、暗号通貨ウォレットから認証情報や資金を盗むことができます。

ToxicPandaは多様な国をターゲットにしている

感染の大半はイタリア（56.8%）で確認されており、ポルトガル（18.7%）、香港（4.6%）、スペイン（3.9%）、ペルー（3.4%）がそれに続いています。これは、中国の脅威アクターがヨーロッパとラテンアメリカの両方のリテールバンキングユーザーをターゲットにした珍しいケースです。

このバンキング型トロイの木馬はまだ初期段階にあるようで、分析により前身の縮小版であることが判明しています。自動転送システム (ATS)、Easyclick、難読化ルーチンなどの主要な機能は削除され、より広範囲のデータを抽出するために 33 個の新しいコマンドが追加されています。

さらに、TgToxic と ToxicPanda の間では 61 個のコマンドが共有されており、このマルウェア ファミリの背後には同じ脅威アクターまたは近い関係者がいる可能性が高いことが示唆されています。ToxicPanda は TgToxic ファミリとボット コマンドの類似点をいくつか保持していますが、コードは大きく異なります。TgToxic に典型的ないくつかの機能が欠落しており、一部のコマンドは実際の機能を持たないプレースホルダーのようです。

ToxicPanda バンキング型トロイの木馬はどのように動作するのでしょうか?

このマルウェアは、Google Chrome、Visa、99 Speedmart などのよく知られたアプリケーションを装い、正規のアプリストアのリストを模倣した偽の Web サイトを通じて配布されます。これらのリンクがどのように共有されているのか、またマルバタイジングやスミッシングなどの手法が使用されているかどうかは不明です。

サイドローディングによってインストールされると、ToxicPanda は Android のアクセシビリティ サービスを悪用して権限の昇格、ユーザー入力の自動化、他のアプリケーションからのデータの取得を行います。SMS または認証アプリ経由で送信されるワンタイム パスワード (OTP) を傍受できるため、攻撃者は 2 要素認証 (2FA) を回避して不正なトランザクションを完了できます。

このマルウェアの主な機能は、データ収集以外にも、攻撃者が侵害したデバイスをリモートで制御し、デバイス上詐欺 (ODF) を実行して、被害者が気付かないうちに不正な送金を行うことを可能にします。

研究者らは、ToxicPanda のコマンド アンド コントロール (C2) パネルにアクセスしたと報告しています。この中国語のインターフェースでは、オペレーターは感染したデバイスのリスト (モデルや場所の詳細を含む) を表示し、ボットネットから削除することもできます。このパネルでは、オペレーターがデバイスへのリアルタイムのリモート アクセスを要求して、ODF アクティビティを実行することもできます。

ToxicPandaはサイバー犯罪者によって開発の初期段階にある可能性がある

ToxicPanda は、分析を困難にするような、より洗練された、または独特な機能をまだ示していません。ただし、ログ データ、未使用のコード、デバッグ ファイルなどの要素は、特に TGToxic との類似性を考慮すると、マルウェアが開発の初期段階にあるか、または大幅なコード リファクタリングが行われている可能性を示しています。