Mobile Malware von ToxicPanda
Eine neue Variante der Android-Banking-Malware namens ToxicPanda hat über 1.500 Android-Geräte infiziert und ermöglicht es Cyberkriminellen, betrügerische Bankgeschäfte durchzuführen. Das Hauptziel von ToxicPanda besteht darin, durch Account Takeover (ATO) nicht autorisierte Geldüberweisungen von kompromittierten Geräten zu initiieren. Dabei kommt eine Technik zum Einsatz, die als On-Device Fraud (ODF) bekannt ist. Mit dieser Methode sollen die Sicherheitsmaßnahmen der Banken umgangen werden, die darauf ausgelegt sind, die Identität der Benutzer zu überprüfen und durch Verhaltensanalyse ungewöhnliche Transaktionsmuster zu erkennen.
Forscher glauben, dass ToxicPanda von einem chinesischsprachigen Bedrohungsakteur stammt. Die Malware weist bemerkenswerte Ähnlichkeiten mit TgToxic auf, einer anderen Android-Malware, die Anfang 2023 identifiziert wurde. TgToxic kann Anmeldeinformationen und Gelder aus Kryptowährungs-Wallets stehlen.
Inhaltsverzeichnis
ToxicPanda zielt auf eine Vielzahl unterschiedlicher Länder ab
Die meisten Infektionen wurden in Italien (56,8 %) beobachtet, gefolgt von Portugal (18,7 %), Hongkong (4,6 %), Spanien (3,9 %) und Peru (3,4 %). Dies ist ein ungewöhnlicher Fall, in dem ein chinesischer Bedrohungsakteur Privatkunden von Banken sowohl in Europa als auch in Lateinamerika ins Visier genommen hat.
Dieser Banking-Trojaner scheint sich noch in der Anfangsphase zu befinden. Analysen haben ergeben, dass es sich um eine abgespeckte Version seines Vorgängers handelt. Wichtige Funktionen wie das Automatic Transfer System (ATS), Easyclick und Verschleierungsroutinen wurden entfernt, während 33 neue Befehle hinzugefügt wurden, um ein breiteres Spektrum an Daten zu extrahieren.
Darüber hinaus haben TgToxic und ToxicPanda 61 gemeinsame Befehle, was darauf schließen lässt, dass wahrscheinlich derselbe Bedrohungsakteur oder enge Vertraute hinter dieser Malware-Familie stecken. Obwohl ToxicPanda einige Ähnlichkeiten mit der TgToxic-Familie in Bezug auf Bot-Befehle aufweist, weicht sein Code erheblich ab. Mehrere für TgToxic typische Funktionen fehlen und einige Befehle scheinen Platzhalter ohne tatsächliche Funktionalität zu sein.
Wie funktioniert der Banking-Trojaner ToxicPanda?
Die Malware tarnt sich als bekannte Anwendungen wie Google Chrome, Visa und 99 Speedmart und wird über gefälschte Websites verbreitet, die legitime App-Store-Einträge imitieren. Es bleibt unklar, wie diese Links geteilt werden oder ob Techniken wie Malvertising oder Smishing im Spiel sind.
Nach der Installation per Sideloading nutzt ToxicPanda die Bedienungshilfen von Android, um erweiterte Berechtigungen zu erhalten, Benutzereingaben zu automatisieren und Daten aus anderen Anwendungen abzufangen. Es kann Einmalkennwörter (OTPs) abfangen, die per SMS oder Authentifizierungs-Apps gesendet werden, sodass Angreifer die Zwei-Faktor-Authentifizierung (2FA) umgehen und nicht autorisierte Transaktionen durchführen können.
Über die Datenerfassung hinaus ermöglicht die Hauptfunktion der Malware Angreifern, das kompromittierte Gerät fernzusteuern und Gerätebetrug (On-Device Fraud, ODF) auszuführen, wodurch unbefugte Geldüberweisungen ohne das Wissen des Opfers ermöglicht werden.
Forscher berichten, dass sie auf das Command-and-Control-Panel (C2) von ToxicPanda zugegriffen haben. In dieser chinesischsprachigen Oberfläche können Betreiber eine Liste infizierter Geräte mit Modell- und Standortdetails anzeigen und diese sogar aus dem Botnetz entfernen. Über das Panel können Betreiber außerdem Echtzeit-Fernzugriff auf Geräte anfordern, um ODF-Aktivitäten auszuführen.
ToxicPanda befindet sich möglicherweise noch in der frühen Entwicklungsphase durch Cyberkriminelle
ToxicPanda hat bisher keine ausgefeilteren oder spezielleren Fähigkeiten gezeigt, die seine Analyse erschweren würden. Elemente wie Protokolldaten, ungenutzter Code und Debugdateien deuten jedoch darauf hin, dass sich die Malware entweder in einem frühen Entwicklungsstadium befindet oder einer erheblichen Code-Refaktorierung unterzogen wird, insbesondere angesichts ihrer Ähnlichkeiten mit TGToxic.
