Mais de 1.500 dispositivos Android foram infectados por uma nova cepa de malware bancário para Android chamado ToxicPanda, que permite que os atores de ameaças realizem transações bancárias fraudulentas.
"O principal objetivo do ToxicPanda é iniciar transferências de dinheiro de dispositivos comprometidos através da tomada de conta (ATO) usando uma técnica bem conhecida chamada fraude no dispositivo (ODF)", disseram os pesquisadores da Cleafy, Michele Roviello, Alessandro Strino e Federico Valentini, em uma análise de segunda-feira(04).
Ele visa burlar as contramedidas bancárias usadas para aplicar a verificação de identidade e a autenticação dos usuários, combinadas com técnicas de detecção comportamental aplicadas pelos bancos para identificar transferências de dinheiro suspeitas.
Acredita-se que o ToxicPanda seja obra de um ator de ameaça sinofalante, com o malware compartilhando semelhanças fundamentais com outro malware para Android chamado TgToxic, que pode roubar credenciais e fundos de carteiras de criptomoedas.
O TgToxic foi documentado pela Trend Micro no início de 2023.
A maioria dos comprometimentos foi relatada na Itália (56,8%), seguida por Portugal (18,7%), Hong Kong (4,6%), Espanha (3,9%) e Peru (3,4%), marcando um caso raro de um ator de ameaça chinês orquestrando um esquema fraudulento para visar usuários de bancos de varejo na Europa e na América Latina.
O trojan bancário também parece estar em seus estágios iniciais.
A análise mostra que é uma versão simplificada de seu antecessor, removendo rotinas de Automatic Transfer System (ATS), Easyclick e ofuscação, enquanto também introduz 33 novos comandos próprios para colher uma ampla gama de dados.
Além disso, até 61 comandos foram encontrados comuns tanto ao TgToxic quanto ao ToxicPanda, indicando que o mesmo ator de ameaça ou seus afiliados próximos estão por trás da nova família de malware.
"Embora compartilhe algumas semelhanças nos comandos de bot com a família TgToxic, o código diverge consideravelmente de sua fonte original", disseram os pesquisadores.
Muitas capacidades características do TgToxic estão notavelmente ausentes, e alguns comandos aparecem como placeholders sem implementação real.
O malware se disfarça como aplicativos populares como Google Chrome, Visa e 99 Speedmart, e é distribuído via páginas falsificadas que imitam páginas de listagem de lojas de aplicativos.
Atualmente, não se sabe como esses links são propagados e se envolvem técnicas de malvertising ou smishing.
Uma vez instalado via sideloading, o ToxicPanda abusa dos serviços de acessibilidade do Android para obter permissões elevadas, manipular entradas do usuário e capturar dados de outros aplicativos.
Ele também pode interceptar senhas de uso único (OTPs) enviadas via SMS ou geradas usando aplicativos autenticadores, permitindo assim que os atores de ameaças burlam as proteções de autenticação de dois fatores (2FA) e completem transações fraudulentas.
A funcionalidade principal do malware, além de sua capacidade de colher informações, é permitir que os atacantes controlem remotamente o dispositivo comprometido e realizem o que é chamado de ODF, o que torna possível iniciar transferências de dinheiro não autorizadas sem o conhecimento da vítima.
A Cleafy disse que conseguiu acessar o painel de comando e controle (C2) do ToxicPanda, uma interface gráfica apresentada em chinês que permite aos operadores visualizar a lista de dispositivos das vítimas, incluindo as informações do modelo e localização, e removê-los da malha.
Além disso, o painel serve como um meio de solicitar acesso remoto em tempo real a qualquer um dos dispositivos para conduzir ODF.
"O ToxicPanda precisa demonstrar capacidades mais avançadas e únicas que complicariam sua análise", disseram os pesquisadores.
No entanto, artefatos como informações de log, código morto e arquivos de depuração sugerem que o malware pode estar em seus estágios iniciais de desenvolvimento ou passando por um extenso refatoramento de código—particularmente dado suas semelhanças com o TGToxic.
Esse desenvolvimento ocorre enquanto um grupo de pesquisadores do Instituto de Tecnologia da Georgia, Universidade Internacional Alemã e Universidade Kyung Hee detalharam um serviço de análise de malware de backend chamado DVa – sigla para Detector de Acessibilidade Específica da Vítima – para identificar malware explorando recursos de acessibilidade em dispositivos Android.
"Usando rastros de execução dinâmica, o DVa utiliza ainda uma estratégia de execução simbólica guiada por vetor de abuso para identificar e atribuir rotinas de abuso às vítimas", disseram.
Por fim, o DVa detecta mecanismos de persistência potencializados por [acessibilidade] para entender como o malware obstrui consultas legais ou tentativas de remoção.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...