1,500대 이상의 Android 기기가 ToxicPanda라는 새로운 유형의 Android 뱅킹 악성코드에 감염되었습니다. 이 악성코드는 위협 행위자가 사기성 은행 거래를 수행할 수 있도록 해줍니다.
Cleafy 연구원 Michele Roviello, Alessandro Strino 및 Federico Valentini는 월요일 분석에서 “ToxicPanda의 주요 목표는 ODF(기기 내 사기)라는 잘 알려진 기술을 사용하여 계정 탈취(ATO)를 통해 손상된 기기에서 자금 이체를 시작하는 것입니다.”라고 밝혔습니다. .
“이는 의심스러운 자금 이체를 식별하기 위해 은행이 적용하는 행동 탐지 기술과 결합하여 사용자의 신원 확인 및 인증을 시행하는 데 사용되는 은행 대응 조치를 우회하는 것을 목표로 합니다.”
ToxicPanda는 중국어를 사용하는 위협 행위자의 작품으로 여겨지며, 이 악성 코드는 암호화폐 지갑에서 자격 증명과 자금을 훔칠 수 있는 TgToxic이라는 다른 안드로이드 악성 코드와 기본적 유사성을 공유합니다. TgToxic은 2023년 초 Trend Micro에 의해 문서화되었습니다.
타협의 대부분은 이탈리아(56.8%)에서 보고되었으며, 포르투갈(18.7%), 홍콩(4.6%), 스페인(3.9%), 페루(3.4%)가 뒤를 이었습니다. 이는 드문 중국인 사례입니다. 유럽과 라틴 아메리카의 소매 금융 사용자를 표적으로 삼기 위해 사기 계획을 조율하는 위협 행위자입니다.
뱅킹 트로이 목마 역시 초기 단계에 있는 것으로 보입니다. 분석에 따르면 ATS(자동 전송 시스템), Easyclick 및 난독화 루틴을 제거하고 광범위한 데이터를 수집하기 위해 33개의 새로운 자체 명령을 도입하는 등 이전 버전의 간단한 버전인 것으로 나타났습니다.
또한 최대 61개의 명령이 TgToxic과 ToxicPanda 모두에 공통적인 것으로 밝혀졌으며, 이는 동일한 위협 행위자 또는 그 가까운 계열사가 새로운 악성 코드 계열의 배후에 있음을 나타냅니다.
연구원들은 “TgToxic 제품군과 일부 봇 명령 유사성을 공유하지만 코드는 원래 소스와 상당히 다릅니다”라고 말했습니다. “TgToxic의 특징적인 많은 기능이 눈에 띄게 결여되어 있으며 일부 명령은 실제 구현 없이 자리 표시자로 나타납니다.”
이 악성코드는 Google Chrome, Visa, 99 Speedmart와 같은 인기 앱으로 가장하며, 앱 스토어 목록 페이지를 흉내낸 위조 페이지를 통해 배포됩니다. 이러한 링크가 어떻게 전파되는지, 악성 광고나 스미싱 기술이 관련되어 있는지는 현재 알려지지 않았습니다.
사이드로딩을 통해 설치되면 ToxicPanda는 Android의 접근성 서비스를 악용하여 승격된 권한을 얻고, 사용자 입력을 조작하고, 다른 앱에서 데이터를 캡처합니다. 또한 SMS를 통해 전송되거나 인증 앱을 사용하여 생성된 일회용 비밀번호(OTP)를 가로챌 수 있으므로 위협 행위자가 2FA(2단계 인증) 보호를 우회하고 사기 거래를 완료할 수 있습니다.
정보를 수집하는 능력 외에도 악성 코드의 핵심 기능은 공격자가 손상된 장치를 원격으로 제어하고 ODF를 수행할 수 있도록 허용하는 것입니다. 이를 통해 피해자가 모르는 사이에 무단 자금 이체를 시작할 수 있습니다.
Cleafy는 ToxicPanda의 명령 및 제어(C2) 패널에 액세스할 수 있었다고 밝혔습니다. 이 패널은 운영자가 모델 정보와 위치를 포함한 피해자 장치 목록을 보고 장치에서 제거할 수 있도록 하는 중국어로 제공되는 그래픽 인터페이스입니다. 보닛. 또한 패널은 ODF 수행을 위한 모든 장치에 대한 실시간 원격 액세스를 요청하는 통로 역할을 합니다.
연구원들은 “ToxicPanda는 분석을 복잡하게 만드는 더욱 발전되고 독특한 기능을 보여줄 필요가 있습니다.”라고 말했습니다. “그러나 로깅 정보, 데드 코드, 디버깅 파일과 같은 아티팩트는 악성 코드가 개발 초기 단계에 있거나 광범위한 코드 리팩토링을 겪고 있을 수 있음을 시사합니다. 특히 TGToxic과의 유사성을 고려할 때 더욱 그렇습니다.”
이번 개발은 조지아 공과대학, 독일 국제 대학교, 경희 대학교의 연구원 그룹이 Android 기기의 접근성 기능을 악용하는 악성 코드를 표시하기 위해 DVa(피해자별 접근성 탐지기의 약어)라는 백엔드 악성 코드 분석 서비스를 자세히 설명하면서 이루어졌습니다. .
“동적 실행 추적을 사용하여 DVa는 학대 벡터 유도 기호 실행 전략을 더욱 활용하여 학대 루틴을 식별하고 피해자에게 귀속시킵니다.”라고 그들은 말했습니다. “마지막으로 DVa는 (접근성) 강화된 지속성 메커니즘을 감지하여 악성 코드가 법적 쿼리나 제거 시도를 방해하는 방식을 이해합니다.”
