มัลแวร์ Android ใหม่ที่ชื่อว่า“ Toxicpanda” ถูกพบเมื่อปลายเดือนตุลาคม 2024 และอยู่ในตระกูล Tgtoxic เนื่องจากคำสั่งบอทที่คล้ายกัน
อย่างไรก็ตามการวิเคราะห์เชิงลึกโดยทีมข่าวกรองภัยคุกคามของ Cleafy เปิดเผยความแตกต่างของ Code ที่สำคัญซึ่งนำไปสู่การจัดประเภทใหม่เป็นภัยคุกคามที่แตกต่าง ข้อแตกต่างจาก TGTOXIC คือ ToxicPanda นั้นขาดคุณสมบัติขั้นสูงบางอย่างเช่นระบบ Automatic Transfer System (ATS) ซึ่งเป็นการลดความซับซ้อนทางเทคนิค แต่มันมีความเสี่ยงที่สำคัญเนื่องจากศักยภาพในการ Account Takeover (ATO) ผ่าน On-Device Fraud (ODF) บนอุปกรณ์ที่ติด Malware
การแพร่กระจายและการกำหนดเป้าหมายทางภูมิศาสตร์
จากข้อมูลของ Cleafy นั้น Toxicpanda ตั้งเป้าไปที่ธนาคารรายย่อยบนอุปกรณ์ Android เป็นหลัก มัลแวร์ได้แพร่กระจายใน อิตาลีโปรตุเกส สเปน และภูมิภาคละติน-อเมริกันบางส่วน โดยอิตาลีมีการติดมัลแวร์มากกว่า 50% อุปกรณ์กว่า 1,500 เครื่องถูกบุกรุก ผ่านการเข้าถึงระยะไกลโดย ToxicPanda ได้เปิดทางให้อาชญากรไซเบอร์ในการควบคุมอุปกรณ์ที่มัลแวร์สกัดกั้น one-time passwords และหลีกเลี่ยงมาตรการตรวจสอบ two-factor authentication การค้นพบของ Cleafy ยังเน้นว่าอาชญากรไซเบอร์ที่อยู่เบื้องหลัง Toxicpanda น่าจะเป็นชาวจีนซึ่งเป็นคุณลักษณะที่ไม่เหมือนใครเนื่องจากกลุ่มชาวจีนไม่ค่อยมุ่งเน้นเป้าหมายไปที่ธนาคารในยุโรป
การพัฒนากลยุทธ์และความท้าทายด้านความปลอดภัย
การแพร่กระจายของมัลแวร์ดูเหมือนจะพึ่งพากลยุทธ์ทางวิศวกรรมทางสังคมนำไปสู่ผู้ใช้ในการโหลดแอพไปยังอุปกรณ์ของพวกเขา เมื่อติดตั้งแล้ว ToxicPanda จะใช้ประโยชน์จากบริการการเข้าถึงของ Android ได้รับสิทธิ์สูงกว่าที่อนุญาตให้จับภาพข้อมูลที่ละเอียดอ่อนและดำเนินการโดยไม่ได้รับอนุญาต
อ่านเพิ่มเติมเกี่ยวกับมัลแวร์ธนาคารบนมือถือ: มัลแวร์ธนาคารบนมือถือเพิ่มขึ้น 32%
นักวิจัยของ Cleafy เข้าถึงโครงสร้างพื้นฐานของ Command-and-Control (C2) ของ Toxicpanda ซึ่งให้ข้อมูลเชิงลึกเกี่ยวกับกลยุทธ์การดำเนินงาน โดยเฉพาะอย่างยิ่ง Toxicpanda แสดงการผสมผสานใหม่และ Placeholder command ซึ่งน่าจะสืบทอดมาจากตระกูล Tgtoxic
Absence of obfuscation techniques และ Debugging files บ่งชี้ว่ามัลแวร์ยังคงมีการพัฒนาและอาจได้รับการแก้ไขเพิ่มเติม ด้วยการใช้ประโยชน์จากความสัมพันธ์ระดับภูมิภาคและข้ามมาตรการรักษาความปลอดภัยเช่นการชำระเงิน Payer Services (PSD2) Toxicpanda สร้างความท้าทายที่เพิ่มขึ้นสำหรับความปลอดภัยของธนาคารบนมือถือเนื่องจากผู้ใช้มัลแวร์ยังคงปรับแต่งกลยุทธ์และขยายเป้าหมายของพวกเขา
Source: infosecurity-magazine
