Bankarski maliciozni softver i trojanci su maliciozni softver dizajniran za krađu osjetljivih finansijskih informacija od korisnika. Jednom instalirani, ovi trojanci mogu koristiti tehnike kao što su keylogging i prekrivanje ekrana za tajno prikupljanje informacija.
Analitičari za kibernetičku sigurnost u Cleafy-ju nedavno su otkrili “ToxicPanda” bankarski malicioyni softver koji aktivno napada bankarske korisnike kako bi ukrao kredencijale za prijavu.
U oktobru 2024. godine otkriveno je da je “ToxicPanda” evoluirala od “TgToxic”, ali sa različitim modifikacijama koda.
ToxicPanda bankarski maliciozni softver
Za izvođenje ATO napada, ovaj RAT iskorištava usluge pristupačnosti Android uređaja putem “ODF” tehnika, koje omogućavaju hakerima da daljinski kontrolišu zaražene uređaje.
Ključne mogućnosti malicioznog softvera nude:-
- Presretanje jednokratnih lozinki (OTP)
- Zaobilaženje dvofaktorske autentifikacije (2FA)
- Korištenje metoda zamagljivanja kako bi se izbjeglo otkrivanje
Ono po čemu je “ToxicPanda” istaknuta je njena “neobična ekspanzija operatera koji govore kineski” u “evropske” i “latinoameričke” bankarske prevare.
Dokumentovano je više od 1500 zaraženih uređaja, a među njima je preko 50% bilo u ‘Italiji’, zatim u ‘Portugalu’, ‘Španiji’, ‘Francuskoj’ i ‘Peruu’.
Procenti zaraženosti su:
- Italija (56,8%)
- Portugal (18,7%)
- Hong Kong (4,6%)
- Španija (3,9%)
- Peru (3,4%)
Infrastruktura malicioznog softvera otkriva sofisticirane funkcije kao što su “presretanje SMS-a”, “daljinska kontrola uređaja” i mogućnost “obrađivanja lažnih transakcija do 10.000 eura” putem trenutnih plaćanja.
Štaviše, nedostaju mu “ATS” mogućnosti i pokazuje “smanjene rutine zamagljivanja”. Ovo ukazuje na usvajanje strožih bankarskih propisa poput „PSD2“ u novim ciljnim regionima.
.webp)
Također koristi kombinaciju “ikona legitimnog izgleda” poznatih brendova kao što su Google Chrome i VISA da prevari korisnike. Distribucija ovisi o “bočnom učitavanju” putem “ socijalnog inženjeringa ”. Za komunikaciju, njegova C2 infrastruktura koristi kineske DNS usluge (“114DNS”).
ToxicPanda Android bankovni trojanac koristi jednostavnu C2 komunikacijsku strukturu koristeći sljedeća tri tvrdo kodirana domena:-
- dksu[.]top
- mixcom[.]jedan
- freebasic[.]cn
Njegova infrastruktura radi preko interfejsa ‘Machine Management’ koji prati status kompromitovanih uređaja.
Maliciozni softver inicira komunikaciju slanjem HTTPS zahtjeva s prefiksom poddomena „ctrl“, nakon čega slijedi implementacija „WebSocket protokola“ za trajnu dvosmjernu komunikaciju, navodi Cleafy izvještaj .
Implementira “AES enkripciju” za sigurnost u načinu “Elektronski šifarnik” (‘ECB’) sa tvrdo kodiranim ključem za šifrovanje (‘0623U2SKT3YY3QB9P’).
.webp)
Komandnom pločom botneta upravlja grupa hakera na kineskom jeziku koja omogućava “udaljeni pristup u realnom vremenu” zaraženim uređajima za lažne transakcije.
ToxicPanda nema sofisticirane karakteristike kao što je „DGA“ jer održava operativnu efektivnost preko svoje „setCommandStyle komande“.
Ovo mu omogućava da izvrši udaljenu modifikaciju C2 domene. Svaki zaraženi uređaj prolazi kroz proces “prijave” tako što prenosi jedinstveni “ID uređaja” na C2 server za “registraciju botnet-a” i “nadgledanje”.
Nakon toga, server može izdati određene komande na osnovu „ciljeva kampanje prevare“. Jednostavna arhitektura maalicioznog softvera sugerira da je on ili u „ranim fazama razvoja“ ili „promjeni koda“.
Izvor: CyberSecurityNews
