ToxicPanda Android bankarski trojanac
ToxicPanda je sofisticirani oblik zlonamjernog softvera koji cilja bankarstvo na Android uređajima i koji predstavlja značajnu prijetnju pametnim telefonima i tabletima omogućavajući zlonamjernim akterima da obavljaju lažne transakcije na kompromitovanim uređajima. Primarni cilj ovog zlonamjernog softvera je preuzimanje naloga korištenjem prevare na uređaju.
TOXICPANDA BANKARSKI TROJANAC
ToxicPanda je napredni Android zlonamjerni softver dizajniran posebno za ciljanje bankarskih informacija uskladištenih na kompromitovanim uređajima. Sigurnosni istraživači iz kompanije Cleafy, Michele Roviello i Alessandro Strino, pružili su dragocjene uvide u funkcionisanje ovog zlonamjernog softvera, otkrivajući njegov potencijal za pokretanje lažnih transakcija putem preuzimanja naloga koristeći tehniku poznatu kao prevara na uređaju. Sigurnosni istraživači spekulišu da su zlonamjerni akteri iza ove kampanje zlonamjernog softvera vjerovatno pojedinci koji govore kineski, slični onima koji su odgovorni za prethodne napade TgToxic zlonamjernog softvera.
Porijeklo
Korijeni ToxicPanda zlonamjernog softvera se mogu pratiti do zloglasnog Android bankarskog trojanca poznatog kao TgToxic, koji je prvi put otkriven 2018. godine. Poredeći ih, ToxicPanda i TgToxic su zlonamjerni softveri dizajnirani prvenstveno da ciljaju bankarske sisteme. Njihov primarni cilj je da zaobiđu bankarske protivmjere koje se primjenjuju za verifikaciju identiteta i autentifikaciju korisnika, kao i tehnike detekcije ponašanja koje banke primjenjuju da identifikuju sumnjive transfere novca. To ih čini opasnim oruđem u rukama zlonamjernih aktera koji traže finansijsku dobit.
Jedna upadljiva sličnost između njih je njihova zajednička sposobnost da ometaju aplikacije i uslužne programe na nivou sistema, sa ciljem da blokiraju interakciju korisnika sa sistemskim postavkama i bezbjednosnim dozvolama. Ova taktika im omogućava da djeluju prikriveno unutar ciljanih sistema. Međutim, značajna razlika leži u njihovom pristupu bankarskim trojanskim operacijama. TgToxic je poznat po svojim mogućnostima automatizacije, dok ToxicPanda usvaja više ručni pristup. Ovo pomjeranje ka ručnom upravljanju ToxicPanda zlonamjernog softvera olakšava zlonamjernim akterima da ciljaju bilo kog klijenta banke, što zahteva manje tehničke vještine.
Još jedna značajna razlika može se uočiti u njihovim komandnim strukturama. Uprkos dijeljenju 61 jedinstvene komande, postoje jasne razlike između njih. Na primjer, ToxicPanda uvodi nove komande i nema implementaciju za neke od TgToxic komandi, posebno one koje se odnose na automatizaciju korisničkog okruženja. Ovo neslaganje izaziva sumnje u njihove programere i sugeriše da je TgToxic služio kao temeljni šablon za ToxicPanda zlonamjerni softver, ali sa smanjenom tehničkom sofisticiranošću.
Što se tiče komunikacije, oba zlonamjerna softvera koriste različite metode. Dok je poznato da TgToxic obavlja komunikaciju koristeći Tor mrežu, ToxicPanda pristupa kineskom javnom DNS servisu (114DNS) za svoje komunikacije. Ova veza sa kineskom DNS uslugom bi potencijalno mogla da ukaže na veze sa kineskim zlonamjernim akterima i da sugeriše da bi ovaj region mogao biti poligon za testiranje budućih operacija ToxicPanda zlonamjernog softvera.
Sa tehničkog stanovišta, oba zlonamjerna softvera imaju sličnosti, ali takođe pokazuju razlike u svojim mogućnostima. Dok je TgToxic poznat po svojim naprednim funkcijama, čini se da ToxicPanda ima smanjene mogućnosti u poređenju sa modernim bankarskim trojancima. Na primjer, uklanjanje rutine sistema automatskog prenosa (eng. Automatic Transfer System – ATS) i smanjene rutine zamagljivanja ukazuju na smanjenje tehničke sofisticiranosti za ToxicPanda zlonamjerni softver.
Funkcionisanje
ToxicPanda zlonamjerni softver funkcioniše kroz niz lukavih i efikasnih taktika koje su dizajnirane da zaobiđu tipične bezbjednosne protokole i izbjegnu otkrivanje od strane korisnika i bezbjednosnih alata. Ovaj sofisticirani dio zlonamjernog softvera prvenstveno cilja Android uređaje sa starijim, zastarelim verzijama operativnog sistema kao što je Android 7 ili starije verzije zbog njihovih nasljeđenih ranjivosti. Nakon infiltracije u uređaj, ToxicPanda zlonamjerni softver se maskira u naizgled bezopasne aplikacije. Međutim, ispod ove fasade krije se zlonamjerna namjera trojanskog konja – vrste zlonamjernog softvera koji dobija neovlašteni pristup uređajima i izvršava radnje bez znanja korisnika.
Primarni cilj ToxicPanda zlonamjernog softvera je da ukrade osjetljive bankarske informacije sa kompromitovanih uređaja. Da bi zaobišla sigurnosne mehanizme, ToxicPanda zlonamjerni softver iskorištava ranjivosti u operativnom sistemu uređaja ili instaliranim aplikacijama da bi dobio pristup osjetljivim podacima bez upozoravanja korisnika. Takođe koristi različite tehnike izbjegavanja, kao što su dinamičko učitavanje kôda i polimorfizam da bi se izbjeglo otkrivanje od strane korisnika i antivirusnog softvera.
Pored toga, ovaj zlonamjerni softver koristi funkciju praćenja korisničkog unosa (eng. keylogging) za snimanje pritisaka na tastere unijetih na kompromitovanom uređaju. Ovo mu omogućava da uhvati korisnička imena, lozinke i druge osjetljive informacije koje se mogu koristiti za preuzimanje naloga ili dalju eksploataciju naloga žrtve. Štaviše, ToxicPanda zlonamjerni softver presreće jednokratne šifre koje su ključne za bankarske transakcije, jer obezbjeđuju dodatni nivo sigurnosti zahtjevajući da se unese jedinstveni kôd svaki put kada se transakcija pokrene. Presretanjem ovih jednokratnih šifri, zlonamjerni softver može olakšati lažne bankarske transakcije na kompromitovanim uređajima bez izazivanja sumnje.
Da bi izbjegao otkrivanje i nastavio da radi neotkriven, ToxicPanda zlonamjerni softver koristi različite taktike kao što je dinamičko učitavanje kôda – gdje se komponente zlonamjernog softvera učitavaju tokom izvršavanja, a ne tokom instalacije – što otežava bezbjednosnim alatima da identifikuju i blokiraju zlonamjernu aktivnost. Štaviše, zlonamjerni softver koristi tehnike šifrovanja da zaštiti svoje komunikacione kanale sa serverima za komandu i kontrolu, obezbeđujući da njegove aktivnosti ostanu skrivene i od korisnika i od sigurnosnih istraživača.
Komandno kontrolni server (C2)
Komandni i kontrolni (C2) server igra ključnu ulogu u radu ToxicPanda zlonamjernog softvera. On je u suštini daljinski upravljač koji zlonamjerni akteri koriste za preuzimanje kompromitovanih uređaja inficiranih ovom zlonamjernim softverom.
Početna veza između zaraženog uređaja i C2 servera se uspostavlja preko HTTPS protokola, koji obezbjeđuje bezbjedne kanale komunikacije. Međutim, važno je napomenuti da iako ovaj metod pruža sigurnost, nedostaje mu prilagodljivost tehnika dinamičkog određivanja krajnje tačke C2 kao što su algoritmi generisanja domena (eng. Domain Generation Algorithms – DGA) ili ažuriranja konfiguracije. To znači da adresa C2 servera ostaje fiksna i da se ne generiše dinamički, što potencijalno olakšava sigurnosnim istraživačima da otkriju i blokiraju.
Kada se uspostavi početna veza, JSON odgovor sa C2 servera postavlja WebSocket vezu za dalju komunikaciju između uređaja i servera. Ovaj dvosmjerni kanal omogućava zlonamjernim akterima koji upravljaju C2 serverom da šalju komande i primaju podatke sa zaraženih uređaja u realnom vremenu. Zlonamjerni softver ToxicPanda koristi tri fiksna domena koji su čvrsto kôdirani u zlonamjerni softver i mogu se daljinski promijeniti od strane C2 servera preko komande. Ova fleksibilnost omogućava zlonamjernim akterima da prelaze između različitih servera ako je jedan otkriven ili uklonjen.
Istraživanje panela ToxicPanda C2 servera, koje su sproveli sigurnosni istraživači, pružilo je vrijedan uvid u taktike, akcije i kompromitovane uređaje povezane sa ovom operacijom zlonamjernog softvera. Nalazi istrage pomogli su u razumijevanju tehnika koje koristi ToxicPanda za obavljanje svojih podlih aktivnosti na zaraženim Android uređajima.
Distribucija
ToxicPanda zlonamjerni softver se prerušava u legitimne aplikacije dostupne na internet lokacijama trećih strana. Kako Google Play prodavnica koristi stroge mjere bezbjednosti kao što je Play Protect da bi spriječila zlonamjerne aplikacije, ToxicPanda uspijeva da izbjegne ove mjere zaštite tako što inficira samo one aplikacije koje su bočno učitane na Android uređaje iz nepouzdanih izvora. Bočno učitavanje (eng. sideloading) se odnosi na proces instaliranja aplikacija izvan zvanične Google Play prodavnice, što predstavlja značajan bezbjednosni rizik, jer ove aplikacije možda neće biti podvrgnute rigoroznim bezbjednosnim provjerama.
Google Play prodavnica se generalno smatra bezbjednom platformom za preuzimanje aplikacija; međutim, nije u potpunosti imuna na zlonamjerni softver kao što je ToxicPanda. Google koristi različite slojeve zaštite, uključujući automatizovane sisteme koji skeniranju i potvrđuju aplikacije pre nego što budu navedene u prodavnici. Ovaj proces ima za cilj da obezbijedi da aplikacije ispunjavaju određene bezbjednosne standarde i da nisu štetne za korisnike. Međutim, neke zlonamjerne aplikacije uspijevaju da se provuku kroz ove zaštitne mjere, često iskorištavajući nove ranjivosti ili koristeći obmanjujuće taktike da bi na kratko izgledale legitimno. Kao odgovor na zabrinutost u vezi sa prisustvom ToxicPanda zlonamjernog softvera u Google Play prodavnici, kompanija Google je podjelia izjavu:
“Na osnovu naše trenutne detekcije, nijedna aplikacija koja sadrži ovaj zlonamjerni softver nije pronađena na Google Play. Android korisnici su automatski zaštićeni od poznatih verzija ovog zlonamjernog softvera pomoću Google Play Protect, koji je podrazumijevano uključen na Android uređajima sa Google Play uslugama. Google Play Protect može da upozori korisnike ili da blokira aplikacije za koje je poznato da pokazuju zlonamjerno ponašanje, čak i kada te aplikacije potiču iz izvora van Play prodavnice.”
– Google –
Geografska rasprostranjenost
Geografsko širenje ToxicPanda zlonamjernog softvera je bilo prilično veliko, sa značajnom aktivnošću prijavljenom u različitim regionima širom sveta. Međutim, čini se da je bio posebno aktivan u Evropi i Latinskoj Americi, posebno u zemljama kao što su Italija, Portugal, Španija, Hong Kong i Peru.
U izvještaju sigurnosnih istraživača govori se o 1.500 Android inficiranih uređaja povezanih sa zlonamjernim softverom ToxicPanda geografski raspoređeni u Italiji (56,8%), a zatim u Portugalu (18,7%), Hong Kong (4,6%), Španija (3,9%) i Peru (3,4%). Ovo predstavlja redak slučaj da kineski akter prijetnji orkestrira lažnu šemu kako bi ciljao na korisnike u Evropi i Latinskoj Americi.
ZAKLJUČAK
Iako je ToxicPanda globalna prijetnja, posebno je aktivna u Evropi i Latinskoj Americi, sa značajnim brojem zaraženih uređaja prijavljenih u zemljama poput Italije, Portugala, Španije, Hong Konga i Perua. Primarni cilj zlonamjernog softvera je da pokrene transfer novca putem preuzimanja računa koristeći tehnike prevare na uređaju. Kako se praznična sezona približava, stručnjaci za bezbjednost upozoravaju da zlonamjerni akteri mogu da iskoriste povećanu aktivnost kupovine na internetu tako što će se prerušiti u legitimne aplikacije ili usluge kako bi prevarili više korisnika da preuzmu ToxicPanda zlonamjerni softver.
ToxicPanda predstavlja zabrinjavajući razvoj zlonamjernog softvera za Android bankarstvo u svijetu. Kako zlonamjerni akteri nastavljaju da razvijaju svoje taktike, od vitalnog je značaja da korisnici budu svjesni ovih prijetnji i usvoje proaktivne mjere kako bi se zaštitili od potencijalnog finansijskog gubitka ili krađe identiteta. Ako korisnici shvate kako ovaj zlonamjerni softver funkcioniše, mogu preduzeti korake da zaštite svoje osjetljive informacije i održe finansijsku sigurnost u sve složenijem digitalnom svetu.
ZAŠTITA
U savremenom digitalnom okruženju, gdje zlonamjerni akteri neprestano razvijaju svoje taktike, imperativ je da korisnici ostanu oprezni i proaktivni u zaštiti svojih uređaja. Kada je riječ o ToxicPanda zlonamjernom softveru, prijetnji mobilnog bankarstva koja je uticala na preko 1.500 uređaja, evo nekoliko ključnih koraka koji se mogu preduzeti:
- Redovno ažurirati Android operativni sistem i aplikacije da bi se popravile poznate ranjivosti, jer zastareli softver može da izloži uređaje potencijalnim prijetnjama kao što je ToxicPanda,
- Preuzimati aplikacije samo iz renomiranih izvora kao što je Google Play Ovo smanjuje rizik od instaliranja zlonamjernih ili inficiranih aplikacija koje mogu dovesti do infekcije ToxicPanda zlonamjernim softverom,
- Omogućiti autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA), što dodaje dodatni sloj sigurnosti omogućavanjem 2FA na bankovnom računu i drugim osjetljivim nalozima. U slučaju ugrožavanja, ova funkcija može pomoći u sprečavanju neovlaštenog pristupa ličnim podacima,
- Koristiti softver za bezbjednost mobilnih uređaja koji skenira aplikacije u potrazi za zlonamjernim softverom prije nego što se instalira na uređaju. Ovo pomaže u zaštiti od potencijalnih prijetnji kao što je ToxicPanda,
- Potrebno je prepoznavati i izbjegavati phishing elektronske poruke, tekstualne poruke ili veze koje mogu da dovedu do zaraženih internet lokacija ili preuzimanja. Uvijek provjeriti identitet pošiljaoca i nikada ne kliknuti na sumnjive veze ili ne pružati osjetljive informacije preko neprovjerenih kanala,
- Redovno praviti rezervne kopije podataka na bezbjednoj usluzi u oblaku ili na spoljnom uređaju za skladištenje. U slučaju infekcije, podaci se mogu vratiti na uređaj u prethodno stanje bez gubitka važnih datoteka,
- Koristite jake i jedinstvene lozinke koristeći kombinaciju slova, brojeva i simbola za sve naloge. Izbjegavati korišćenje iste lozinke na više platformi, jer to povećava rizik ako je jedan nalog kompromitovan, budu i ostali sa istom lozinkom,
- Potrebno je biti oprezan prilikom davanja dozvola aplikacijama na uređaju. Aplikacijama treba omogućiti pristup samo podacima koji su im potrebni, smanjujući potencijalnu izloženost u slučaju infekcije zlonamjernim softverom kao što je ToxicPanda,
- Redovno provjeravati bankovni račun i druge osjetljive račune tražeći tragove bilo kakve neuobičajene aktivnosti ili transakcije. Ako se primijete bilo kakve sumnjive aktivnosti, odmah se obratite svojoj finansijskoj instituciji,
- Potrebno je biti informisan o najnovijim sajber prijetnjama i bezbjednosnim mjerama prateći vijesti iz pouzdanih izvora. Ovo znanje će pomoći u donošenju informisanih odluka za zaštitu od ToxicPanda zlonamjernog softvera i drugih sličnih prijetnji.