近日，研究人员发现超过1500台安卓设备被一种名为ToxicPanda的新安卓银行恶意软件感染，该软件允许威胁行为者进行欺诈性银行交易。

“ToxicPanda的主要目标是通过账户接管（ATO）使用一种名为设备端欺诈（ODF）的技术，从被入侵的设备中发起资金转账。”Cleafy研究人员Michele Roviello、Alessandro Strino和Federico Valentini在分析报告中表示。

“它旨在绕过银行用来执行用户身份验证和认证的对策，以及应用来识别可疑资金转账的行为检测技术。”ToxicPanda与另一种名为TgToxic的安卓恶意软件有相似之处，后者可以从加密钱包中窃取凭证和资金。

目前，研究人员认为该恶意软件还处于起步阶段。分析显示，它是其前身的简化版本，删除了自动转账系统（ATS）、Easyclick和混淆例程，同时引入了33个新命令来收集广泛的数据。

此外，研究人员发现多达61个命令是TgToxic和ToxicPanda共有的，这表明同一威胁行为者或其密切关联者是新恶意软件家族的幕后黑手。“虽然它与TgToxic家族有一些机器人命令的相似之处，但代码与原始来源有相当大的不同，”研究人员说。“TgToxic的许多功能特征明显缺失，一些命令似乎是没有实际实现的占位符。”

该恶意软件伪装成流行的应用，如Google Chrome、Visa和99 Speedmart，并通过模仿应用商店列表页面的假冒页面进行分发。目前尚不清楚这些链接是如何传播的，以及是否涉及恶意广告或网络钓鱼技术。

一旦通过侧载安装，ToxicPanda就会滥用安卓的辅助功能服务来获得更高的权限，操纵用户输入，并从其他应用中捕获数据。它还可以拦截通过短信发送的一次性密码（OTP）或使用认证器应用生成的OTP，从而使威胁行为者能够绕过双因素认证（2FA）保护并完成欺诈交易。

除了收集信息外，该恶意软件的核心功能是允许攻击者远程控制被入侵的设备，并执行所谓的ODF，这使得可以在受害者不知情的情况下发起未经授权的汇款。

Cleafy表示，它能够访问ToxicPanda的命令和控制（C2）面板，这是一个图形界面，允许操作者查看受害者设备的列表，包括型号信息和位置，并将其从名单中移除。此外，该面板作为请求对任何设备进行实时远程访问以进行ODF的通道。

“ToxicPanda需要展示更先进和独特的能力，这将使其分析变得复杂，”研究人员说。“然而，日志信息、死代码和调试文件等工件表明，该恶意软件可能处于早期开发阶段或正在进行广泛的代码重构——特别是鉴于其与TGToxic的相似性。”

与此同时，来自佐治亚理工学院、德国国际大学和庆熙大学的一组研究人员详细介绍了一个名为DVa的后端恶意软件分析服务——全称为Detector of Victim-specific Accessibility——用于标记利用安卓设备辅助功能的恶意软件。

“使用动态执行跟踪，DVa进一步利用基于滥用向量的符号执行策略来识别并归因滥用例程给受害者，”他们说。“最后，DVa检测[辅助功能]授权的持久性机制，以了解恶意软件如何阻碍合法查询或移除尝试。”

文章来源：

https://thehackernews.com/2024/11/new-android-banking-malware-toxicpanda.html