มัลแวร์ ToxicPanda โจมตีแอปพลิเคชันของธนาคาร
สรุปข้อมูล
พบการโจมตีด้วยมัลแวร์ ToxicPanda เป็น Mobile Banking Trojan บนระบบปฏิบัติการ Android มุ่งเป้าไปยังหน่วยงาน ธนาคารในภูมิภาคยุโรปและละตินอเมริกา ทำให้แฮกเกอร์สามารถดำเนินการ Fraudulent Banking Transaction ที่มีความเชื่อมโยงกับมัลแวร์ TgToxic ซึ่งเป็น Trojan โจมตีทวีปเอเชียตะวันออกเฉียงใต้ โดยเป้าหมายหลักคือการโอนเงินจากเครื่องที่ถูก Compromise และขโมยข้อมูลการเข้าสู่ระบบ ด้วยเทคนิค On-device Fraud (ODF) ของวิธีการ Account Takeover (ATO)
รายละเอียดการโจมตี
มัลแวร์ ToxicPanda ปลอมเป็นแอปพลิเคชันที่ใช้กันทั่วไปเพื่อหลอกเหยื่อ เช่น Google Chrome Visa และ 99 Speedmart ที่ ดาวน์โหลดผ่านเว็บไซต์ปลอม แต่เบื้องต้นยังไม่ทราบแน่ชัดว่าลิงก์ของเว็บไซต์ปลอมแพร่ไปยังเหยื่อย่างไร อาจจะเป็นทาง Malvertising หรือ Smishing
รูปที่ 1: แอปพลิเคชันปลอม
เมื่อเหยื่อทำการดาวน์โหลดและติดตั้งมัลแวร์ ToxicPanda จะดำเนินการเข้าถึง Accessibility Services ของ Android เพื่อ ยกระดับสิทธิ์ในการดักจับ Input ของการใช้งานของผู้ใช้งาน Capture ข้อมูลในแอปพลิเคชันต่าง ๆ บนเครื่องของเหยื่อได้ รวมไปถึงแอปพลิเคชัน ของธนาคารด้วย นอกจากนี้แฮกเกอร์สามารถดัก OTPs ที่ส่งผ่าน SMS หรือ OTPs ที่ถูก Generate โดยแอป พลิเคชัน Authenticator
รูปที่ 2: ตัวอย่าง Code ที่ใช้ในการปิดการทำงานของแอปพลิเคชันที่ไม่ต้องการ
แฮกเกอร์ใช้วิธีการติดต่อสื่อสารแบบ C2 ผ่าน Domain เพื่อ Remote เข้าควบคุมเครื่องที่ถูก Compromise และดำเนินการ On-device Fraud (ODF) ซึ่งทำให้แฮกเกอร์สามารถทำ Transaction และแก้ไขการตั้งค่าของบัญชีได้โดยไม่ได้รับอนุญาต
รูปที่ 3: C2 Server Domain
ผลกระทบจากการโจมตี
การโจมตีด้วยมัลแวร์ ToxicPanda ซึ่งเป็น Mobile Banking Trojan ส่งผลให้แฮกเกอร์สามารถขโมยข้อมูลต่าง ๆ บนเครื่องของเหยื่อได้ เช่น ข้อมูล Credential ข้อมูลในแอปพลิเคชันบนโทรศัพท์ของเหยื่อ รหัส OTPs และติดตามการใช้งานบนเครื่องของเหยื่อได้ นอกจากนี้แฮกเกอร์ยังสามารถโอนเงินจากบัญชีของเหยื่อได้โดยไม่ได้รับอนุญาต
คำแนะนำ
- Awareness Training ให้แก่พนักงานในองค์กร เช่น การโจมตีในรูปแบบ Phishing และ Malvertising
- อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
- ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
- การใช้แอปพลิเคชันจากช่องทาง Official ควรดาวน์โหลดแอปพลิเคชันจากช่องทาง Official เท่านั้น ไม่ควรค้นหาจาก Search Engine โดยตรง หรือจากลิงก์ที่ผ่าน SMS
- การจำกัดขนาดของข้อมูลก่อนออกสู่ภายนอก เพื่อป้องกันการนำข้อมูลที่มีขนาดใหญ่ออกสู่ภายนอกขององค์กร
Indicators of Compromise (IoCs)
| ToxicPanda | |
| MD5 | 2f5c4325f77280b2b58be981f9051f04 |
| 6e0a7e94ce0a1fe70d43fe727dc41061 | |
| 68139c9e7960d3eb956472bdc5ed5ad2 | |
| f5c44a7044572e39e8fb9fa8e1780924 | |
| 4295dfdd9d9fad74ee08d48d13e2b856 | |
| DOMAIN | dksu[.]top |
| mixcom[.]one | |
| freebasic[.]cn | |
| fgta[.]lol | |
| dpds[.]lol | |
| cgtp[.]lol | |
| atnp[.]lol | |
| bnwu[.]lol | |
| dblpap1[.]top | |
| dblpap2[.]top | |
| dblpap3[.]top | |
| dblxz[.]lol | |
| dbltest[.]top | |
| dbltest6[.]top | |
| dbltest8[.]top | |
| cpt[.]lol | |
| unk[.]lol | |
| 99spedmart[.]me | |
| mwscg[.]top | |
| ckysp[.]top | |
| kmpct[.]top | |
แหล่งอ้างอิง
https://thehackernews.com/2024/11/new-android-banking-malware-toxicpanda.html
https://cybersecuritynews.com/toxicpanda-banking-malware/
https://www.cleafy.com/cleafy-labs/toxicpanda-a-new-banking-trojan-from-asia-hit-europe-and-latam
