Malware Perbankan Android Baru ‘ToxicPanda’ Menargetkan Pengguna dengan Transfer Uang Palsu
Lebih dari 1.500 perangkat Android telah terinfeksi oleh jenis malware perbankan baru bernama ToxicPanda, yang memungkinkan penjahat siber melakukan transaksi perbankan palsu.
“ToxicPanda memiliki tujuan utama untuk menginisiasi transfer uang dari perangkat yang terinfeksi melalui pengambilalihan akun (ATO) menggunakan teknik yang dikenal sebagai penipuan di perangkat (ODF),” kata para peneliti dari Cleafy, Michele Roviello, Alessandro Strino, dan Federico Valentini, dalam analisis mereka pada hari Senin.
“Malware ini bertujuan untuk melewati langkah-langkah verifikasi identitas dan autentikasi pengguna yang diterapkan oleh bank, serta mengelabui teknik deteksi perilaku bank yang biasa digunakan untuk mengidentifikasi transaksi mencurigakan.”
ToxicPanda diyakini dibuat oleh pelaku ancaman yang berbicara bahasa Tiongkok. Malware ini memiliki kemiripan dengan malware Android lain bernama TgToxic, yang bisa mencuri kredensial dan dana dari dompet kripto. TgToxic pertama kali didokumentasikan oleh Trend Micro pada awal 2023.
Sebagian besar infeksi terjadi di Italia (56,8%), diikuti oleh Portugal (18,7%), Hong Kong (4,6%), Spanyol (3,9%), dan Peru (3,4%). Ini adalah salah satu contoh langka ketika pelaku ancaman dari Tiongkok melakukan penipuan yang menargetkan pengguna bank ritel di Eropa dan Amerika Latin.
Trojan perbankan ini juga tampaknya masih dalam tahap awal. Analisis menunjukkan bahwa ini adalah versi yang lebih sederhana dari pendahulunya, dengan menghilangkan beberapa fitur seperti Sistem Transfer Otomatis (ATS), Easyclick, dan rutin obfuscation. Namun, ToxicPanda juga memiliki 33 perintah baru yang bisa mengambil berbagai macam data.
Selain itu, ada 61 perintah yang sama dengan TgToxic, menunjukkan bahwa pelaku atau kelompok yang sama mungkin berada di balik kedua malware ini.
“Meskipun memiliki beberapa kemiripan perintah bot dengan keluarga TgToxic, kode ini berbeda jauh dari sumber aslinya,” kata para peneliti. “Beberapa kemampuan khas dari TgToxic tidak ada, dan beberapa perintah hanya sebagai placeholder tanpa implementasi nyata.”
Malware Perbankan Android Malware ini berpura-pura menjadi aplikasi populer seperti Google Chrome, Visa, dan 99 Speedmart, dan didistribusikan melalui halaman palsu yang meniru halaman di toko aplikasi. Cara penyebarannya masih belum diketahui dengan pasti, apakah menggunakan malvertising atau teknik smishing.
Begitu terpasang melalui sideloading, ToxicPanda memanfaatkan layanan aksesibilitas Android untuk mendapatkan izin yang lebih tinggi, mengendalikan input pengguna, dan mengambil data dari aplikasi lain. Malware ini juga bisa mencegat OTP (one-time password) yang dikirim lewat SMS atau aplikasi autentikator, memungkinkan pelaku melewati perlindungan autentikasi dua faktor (2FA) dan menyelesaikan transaksi palsu.
Fungsi utama malware ini, selain untuk mengumpulkan informasi, adalah memungkinkan pelaku mengontrol perangkat yang terinfeksi dari jarak jauh dan melakukan ODF, yang memungkinkan transfer uang tanpa sepengetahuan korban.
Cleafy berhasil mendapatkan akses ke panel command-and-control (C2) ToxicPanda, antarmuka grafis berbahasa Tionghoa yang memungkinkan operator melihat daftar perangkat korban, termasuk informasi model dan lokasi, serta menghapus perangkat dari botnet. Panel ini juga digunakan untuk meminta akses jarak jauh secara real-time ke perangkat mana pun untuk melakukan ODF.
Para peneliti dari Cleafy juga mengatakan bahwa ToxicPanda mungkin masih dalam tahap awal pengembangan atau sedang melalui proses refactoring kode yang ekstensif karena banyak kesamaan dengan TgToxic.
Penemuan ini datang seiring dengan penelitian dari Georgia Institute of Technology, German International University, dan Kyung Hee University tentang layanan analisis malware bernama DVa – singkatan dari Detector of Victim-specific Accessibility. DVa bertujuan untuk mendeteksi malware yang menyalahgunakan fitur aksesibilitas di perangkat Android.
Referensi:
https://thehackernews.com/2024/11/new-android-banking-malware-toxicpanda.html
