ToxicPanda 行動惡意軟體：Android 銀行安全的另一個威脅

Table of Contents

什麼是 ToxicPanda 行動惡意軟體？

ToxicPanda 是一種針對 Android 裝置的行動惡意軟體，特別是用於銀行和金融交易的裝置。與許多其他形式的惡意軟體不同，ToxicPanda 特別專注於控制受感染的設備，以便在用戶不知情的情況下啟動欺詐性銀行轉帳。網路安全分析師發現，這種惡意軟體已分發到世界各地的 Android 裝置上，特別是在義大利、葡萄牙和香港等國家。

ToxicPanda 的核心是使用一種稱為裝置上詐騙 (ODF) 的策略來運作。 ODF 使攻擊者能夠像使用者一樣操縱設備，從而繞過典型的身份驗證過程。 ToxicPanda 的設計也融入了規避銀行用來偵測和防止未經授權交易的高階安全檢查的功能。

ToxicPanda 的目標：它的目標是什麼？

ToxicPanda 的主要目標是透過存取使用者的銀行帳戶來啟動未經授權的金融交易。 ToxicPanda 透過接管帳戶並存取敏感資訊來實現這一目標，例如來自身份驗證器應用程式或 SMS 訊息的憑證和一次性密碼 (OTP)。此功能使攻擊者能夠避開雙重認證 (2FA) 保護，這通常可以防止未經授權的交易。 ToxicPanda 本質上是利用設備本身來發起欺詐性轉賬，使銀行難以檢測到異常活動。

有趣的是，ToxicPanda 與今年稍早發現的另一種惡意軟體菌株 TgToxic 具有一些共同特徵。 TgToxic 以針對加密貨幣錢包和銀行應用程式而聞名，研究人員認為，由於結構和命令集相似，ToxicPanda 可能源自同一來源。然而，ToxicPanda 具有獨特且有些精簡的功能，這表明它可能是較新的版本，其附加功能仍在開發中。

ToxicPanda 的運作方式

為了傳遞其有效負載，ToxicPanda 將自己偽裝成 Google Chrome、Visa 等知名應用程式或流行的購物應用程式。這些假冒版本存在於旨在模仿合法應用程式商店頁面的虛假網站上，誘使用戶將惡意軟體下載到他們的裝置上。一旦安裝，ToxicPanda 就會利用 Android 的輔助服務，獲得更高的權限，使其能夠監視使用者活動、攔截資料和控制裝置功能。這種存取對於捕獲 OTP 和操縱用戶輸入至關重要，所有這些都有助於執行未經授權的交易。

ToxicPanda 的控制還不止於此。透過其命令和控制 (C2) 介面，攻擊者可以遠端存取受感染的設備，通常是即時進行設備上詐欺。這種程度的控制使攻擊者能夠將其行為偽裝成常規用戶活動，繞過許多銀行旨在標記可疑行為的安全協議。

ToxicPanda 的影響：為什麼它很重要

ToxicPanda 的影響之所以引人注目，有幾個原因。其一，它凸顯了金融詐欺領域針對 Android 的惡意軟體日益複雜。該惡意軟體利用無障礙服務繞過安全協定的能力使其與眾不同，因為它表明即使是雙重認證（廣泛信任的安全措施）在面對進階威脅時也可能容易受到攻擊。

這項發展對行動銀行安全有廣泛的影響，特別是對於歐洲和拉丁美洲等地區的 Android 用戶來說，這些地區的感染病例最多。 ToxicPanda 精簡但功能強大的工具包表明其創建者有意進一步改進該惡意軟體。隨著它的發展，它可能會對全球網路銀行用戶構成更大的威脅。

使用者要點

雖然 ToxicPanda 代表了一種複雜且有針對性的威脅，但使用者可以採取特定行動來最大限度地降低感染風險。最有效的方法之一是僅從 Google Play 等信譽良好的來源下載應用程序，並避免安裝來自未知或非官方來源的應用程式。此外，啟用 Google Play Protect、維護最新軟體以及明智地使用應用程式權限可以進一步增強裝置安全性。

Android 輔助服務雖然很有價值，但也可能被 ToxicPanda 等惡意軟體利用。使用者在授予應用程式廣泛的權限時應謹慎，特別是當應用程式的功能與其要求的權限不一致時。透過注意這些細節，使用者可以保護自己免受依賴輔助功能秘密操作的威脅。

更大的圖像：行動安全面臨的威脅不斷演變

ToxicPanda 的崛起凸顯了不斷變化的威脅情勢，攻擊者通常透過利用先進技術來繞過傳統安全措施，不斷改進惡意軟體以獲取經濟利益。研究人員指出，ToxicPanda 的簡化程式碼可能表明它仍在開發中，新功能可能即將出現。然而，即使以目前的形式，ToxicPanda 的策略也表明，日益複雜的工具可能如何挑戰傳統的檢測方法。

為了應對此類威脅，安全研究人員和開發人員正在積極研究新技術，包括識別和標記 Android 裝置上與可存取性相關的濫用模式的工具。 DVa 就是一個例子，它是研究人員創建的一種動態工具，可以分析某些應用程式如何濫用輔助功能來維持在裝置上的持久性。