Plus de 1 500 appareils Android ont été infectés par une nouvelle souche de malware bancaire Android appelée ToxicPanda, qui permet aux acteurs malveillants d’effectuer des transactions bancaires frauduleuses.
« L’objectif principal de ToxicPanda est d’initier des transferts d’argent à partir d’appareils compromis via la prise de contrôle de compte (ATO) en utilisant une technique bien connue appelée fraude sur l’appareil (ODF) », chercheurs de Cleafy Michele Roviello, Alessandro Strino et Federico Valentini. dit dans une analyse de lundi.
« Il vise à contourner les contre-mesures bancaires utilisées pour imposer la vérification de l’identité et l’authentification des utilisateurs, combinées aux techniques de détection comportementale appliquées par les banques pour identifier les transferts d’argent suspects. »
ToxicPanda est considéré comme l’œuvre d’un acteur malveillant parlant chinois, le malware partageant des similitudes fondamentales avec un autre malware Android baptisé TgToxic, qui peut voler des informations d’identification et des fonds dans des portefeuilles cryptographiques. TgToxic a été documenté par Trend Micro début 2023.
La majorité des compromissions ont été signalées en Italie (56,8 %), suivie du Portugal (18,7 %), de Hong Kong (4,6 %), de l’Espagne (3,9 %) et du Pérou (3,4 %), ce qui constitue un cas rare de compromission chinoise. acteur menaçant orchestrant un stratagème frauduleux visant à cibler les utilisateurs des services bancaires de détail en Europe et en Amérique latine.
Le cheval de Troie bancaire semble également en être à ses balbutiements. L’analyse montre qu’il s’agit d’une version allégée de son ancêtre, supprimant le système de transfert automatique (ATS), Easyclick et les routines d’obscurcissement, tout en introduisant également 33 nouvelles commandes pour récolter un large éventail de données.
En outre, pas moins de 61 commandes se sont révélées communes à TgToxic et ToxicPanda, ce qui indique que le même acteur malveillant ou ses proches affiliés sont à l’origine de la nouvelle famille de logiciels malveillants.
« Bien qu’il partage certaines similitudes avec les commandes de robot de la famille TgToxic, le code s’écarte considérablement de sa source d’origine », ont déclaré les chercheurs. « De nombreuses fonctionnalités caractéristiques de TgToxic sont remarquablement absentes, et certaines commandes apparaissent comme des espaces réservés sans réelle implémentation. »
Le malware se fait passer pour des applications populaires telles que Google Chrome, Visa et 99 Speedmart, et est distribué via des pages contrefaites imitant les pages de liste des magasins d’applications. On ne sait pas actuellement comment ces liens se propagent et s’ils impliquent des techniques de publicité malveillante ou de smishing.
Une fois installé via le chargement latéral, ToxicPanda abuse des services d’accessibilité d’Android pour obtenir des autorisations élevées, manipuler les entrées des utilisateurs et capturer des données d’autres applications. Il peut également intercepter les mots de passe à usage unique (OTP) envoyés par SMS ou générés à l’aide d’applications d’authentification, permettant ainsi aux acteurs malveillants de contourner les protections d’authentification à deux facteurs (2FA) et d’effectuer des transactions frauduleuses.
La fonctionnalité principale du malware, outre sa capacité à récolter des informations, est de permettre aux attaquants de contrôler à distance l’appareil compromis et d’effectuer ce qu’on appelle FDALqui permet d’initier des transferts d’argent non autorisés à l’insu de la victime.
Cleafy a déclaré avoir pu accéder au panneau de commande et de contrôle (C2) de ToxicPanda, une interface graphique présentée en chinois qui permet aux opérateurs de visualiser la liste des appareils victimes, y compris les informations sur le modèle et l’emplacement, et de les supprimer de le capot. De plus, le panneau sert de canal pour demander un accès à distance en temps réel à l’un des dispositifs permettant de réaliser l’ODF.
« ToxicPanda doit démontrer des capacités plus avancées et uniques qui compliqueraient son analyse », ont déclaré les chercheurs. « Cependant, des artefacts tels que des informations de journalisation, du code mort et des fichiers de débogage suggèrent que le logiciel malveillant en est peut-être à ses premiers stades de développement ou qu’il subit une refactorisation approfondie du code, en particulier compte tenu de ses similitudes avec TGToxic. »
Le développement a été réalisé par un groupe de chercheurs du Georgia Institute of Technology, de l’Université internationale allemande et de l’Université Kyung Hee. détaillé un service d’analyse des logiciels malveillants back-end appelé DVa – abréviation de Detector of Victim-Specific Accessibility – pour signaler les logiciels malveillants exploitant les fonctionnalités d’accessibilité sur les appareils Android.
« En utilisant des traces d’exécution dynamiques, DVa utilise en outre une stratégie d’exécution symbolique guidée par des vecteurs d’abus pour identifier et attribuer les routines d’abus aux victimes », ont-ils déclaré. « Enfin, DVa détecte [accessibility]-des mécanismes de persistance habilités pour comprendre comment les logiciels malveillants entravent les requêtes légales ou les tentatives de suppression.