Logiciel malveillant pour mobile ToxicPanda
Une nouvelle souche du malware bancaire Android, baptisée ToxicPanda, a infecté plus de 1 500 appareils Android, permettant aux cybercriminels d'effectuer des transactions bancaires frauduleuses. L'objectif principal de ToxicPanda est d'initier des transferts d'argent non autorisés à partir d'appareils compromis par le biais d'une prise de contrôle de compte (ATO) à l'aide d'une technique connue sous le nom de fraude sur appareil (ODF). Cette méthode vise à échapper aux mesures de sécurité des banques conçues pour vérifier l'identité des utilisateurs et détecter des modèles de transactions inhabituels grâce à l'analyse comportementale.
Les chercheurs pensent que ToxicPanda est issu d'un acteur malveillant parlant chinois. Le malware présente des similitudes notables avec TgToxic , un autre malware Android identifié début 2023. TgToxic est capable de voler des informations d'identification et des fonds à partir de portefeuilles de cryptomonnaies.
Table des matières
ToxicPanda cible un ensemble diversifié de pays
La majorité des infections ont été observées en Italie (56,8 %), suivie du Portugal (18,7 %), de Hong Kong (4,6 %), de l'Espagne (3,9 %) et du Pérou (3,4 %). Il s'agit d'un cas inhabituel où un acteur malveillant chinois a ciblé des utilisateurs de banques de détail en Europe et en Amérique latine.
Ce cheval de Troie bancaire semble en être à ses débuts, et les analyses révèlent qu'il s'agit d'une version simplifiée de son prédécesseur. Des fonctionnalités clés comme le système de transfert automatique (ATS), Easyclick et les routines d'obscurcissement ont été supprimées, tandis que 33 nouvelles commandes ont été ajoutées pour extraire une plus large gamme de données.
De plus, 61 commandes sont partagées entre TgToxic et ToxicPanda, ce qui suggère que le même acteur malveillant ou des associés proches sont probablement à l'origine de cette famille de logiciels malveillants. Bien que ToxicPanda conserve certaines similitudes de commandes de bot avec la famille TgToxic, son code diverge considérablement. Plusieurs fonctions typiques de TgToxic sont manquantes et certaines commandes semblent être des espaces réservés sans fonctionnalité réelle.
Comment fonctionne le cheval de Troie bancaire ToxicPanda ?
Le malware se fait passer pour des applications bien connues comme Google Chrome, Visa et 99 Speedmart, et est distribué via de faux sites Web qui imitent les listes légitimes des magasins d'applications. On ne sait pas encore comment ces liens sont partagés ni si des techniques telles que le malvertising ou le smishing sont impliquées.
Une fois installé via sideloading, ToxicPanda exploite les services d'accessibilité d'Android pour obtenir des autorisations élevées, automatiser les saisies utilisateur et capturer des données à partir d'autres applications. Il peut intercepter les mots de passe à usage unique (OTP) envoyés par SMS ou par des applications d'authentification, permettant aux attaquants de contourner l'authentification à deux facteurs (2FA) et d'effectuer des transactions non autorisées.
Au-delà de la collecte de données, la fonction principale du logiciel malveillant permet aux attaquants de contrôler l'appareil compromis à distance et d'exécuter une fraude sur l'appareil (ODF), facilitant les transferts d'argent non autorisés à l'insu de la victime.
Les chercheurs ont indiqué avoir accédé au panneau de commande et de contrôle (C2) de ToxicPanda. Dans cette interface en chinois, les opérateurs peuvent consulter une liste des appareils infectés, y compris les détails du modèle et de l'emplacement, et même les supprimer du botnet. Le panneau permet également aux opérateurs de demander un accès à distance en temps réel aux appareils pour exécuter des activités ODF.
ToxicPanda pourrait être en phase de développement par des cybercriminels
ToxicPanda n'a pas encore démontré de capacités plus sophistiquées ou distinctives qui rendraient son analyse plus difficile. Cependant, des éléments tels que les données de journalisation, le code inutilisé et les fichiers de débogage indiquent que le malware pourrait être soit aux premiers stades de développement, soit en cours de refactorisation de code importante, en particulier compte tenu de ses similitudes avec TGToxic.
