بدافزار بانکی اندروید ToxicPanda به عنوان تهدیدی جدی در اوایل سال ۲۰۲۵ ظهور کرده و تاکنون بیش از ۴۵۰۰ دستگاه اندرویدی را عمدتاً در پرتغال و اسپانیا آلوده کرده است. این بدافزار با هدف سرقت اطلاعات ورود بانکی، پوشش دادن کدهای PIN و الگوهای قفل، و اجرای تراکنشهای غیرمجاز طراحی شده است.
گسترش جغرافیایی و تمرکز بر اروپا
در ابتدا در سال ۲۰۲۲ توسط شرکت Trend Micro شناسایی شد که تمرکز آن بر آسیای جنوب شرقی بود. اما از سال ۲۰۲۴ این تهدید به اروپا منتقل شد و طبق تحقیقات Cleafy حدود ۱۵۰۰ دستگاه را در کشورهای ایتالیا، پرتغال، هنگکنگ، اسپانیا و پرو آلوده کرد.
در سال ۲۰۲۵ تمرکز آن به شبهجزیره ایبری (پرتغال و اسپانیا) معطوف شد:
-
۳۰۰۰ آلودگی در پرتغال
-
۱۰۰۰ آلودگی در اسپانیا
که مجموعاً ۸۵٪ از کل موارد جهانی را شامل میشود. آلودگیهای پراکنده نیز در یونان، مراکش و پرو مشاهده شده است.
ToxicPanda عمدتاً گوشیهای اقتصادی و میانرده از برندهای زیر را هدف قرار داده:
-
Samsung (سری A و S، شامل مدلهای S8، S9، S23)
-
Xiaomi (سری Redmi)
-
Oppo (سری A)
پیشرفتهای فنی و روشهای توزیع
این بدافزار از یک سامانه توزیع چندلایه TDS با نام TAG-124 برای انتشار فایلهای APK آلوده مانند dropper.apk و no_dropper.apk استفاده میکند. این فایلها در دامنههای هکشده و پوشههای باز آپلود میشوند، با ظاهری شبیه به بهروزرسانی مرورگر گوگل کروم یا استفاده از ReCaptcha برای فریب کاربران.
در فایل AndroidManifest.xml، بدافزار ۵۸ سطح دسترسی درخواست میکند که شامل موارد مشکوکی مانند:
-
READ_SMS,RECEIVE_SMS(برای رهگیری پیامکها و OTP) -
BIND_NOTIFICATION_LISTENER_SERVICE(برای رهگیری اعلانها) -
SYSTEM_ALERT_WINDOW(برای نمایش لایههای فیشینگ) -
BIND_ACCESSIBILITY_SERVICE(برای کنترل کامل دستگاه، keylogging، هدایت خودکار، و تغییر رابط کاربری)
پس از نصب، بدافزار خود را به عنوان اپلیکیشن جعلی Google Chrome جا میزند و کاربر را ترغیب به فعالسازی دسترسی accessibility میکند. سپس با دریافت payload از C2، اقدام به پوششدهی جعلی صفحات ورود ۳۹ اپلیکیشن بانکی میکند و اطلاعات کاربر را از طریق WebView و سوءاستفاده از TYPE_ACCESSIBILITY_OVERLAY به سرقت میبرد.
تکنیکهای ضد شبیهسازی و ماندگاری
بدافزار با بررسی مواردی مانند اطلاعات CPU، مسیرهای امولاتور، سنسور نور، و قابلیت تماس، از اجرا در sandboxهایی مانند Joe، VirusTotal و Triage جلوگیری میکند.
همچنین از الگوریتم تولید دامنه (DGA) برای ایجاد دامنههای جدید ماهانه استفاده میکند. در صورت عدم موفقیت، از فایل رمزگذاریشده dom.txt با الگوریتم DES/CBC/PKCS5Padding و کلید jp202411 بهره میبرد. همچنین برای رمزگذاری payload از AES/ECB/PKCS5Padding با کلید 0623U25KTT3YO8P9 استفاده میشود.
برای ماندگاری، از broadcastهایی مانند PACKAGE_REMOVED استفاده کرده و با RestartSensor مجدداً خود را فعال میکند. همچنین از بستن پنجرههای حذف نصب توسط کاربر جلوگیری میکند.
زیرساخت شبکه و منشأ احتمالی
زیرساخت این بدافزار با آیپیهای Cloudflare و دامنههایی مانند ksicngtw[.]org مرتبط است. وجود قطعاتی از کد با زبان چینی نشاندهنده منشأ احتمالی چینی آن است.
توصیههای امنیتی
-
تنها از فروشگاههای رسمی اپلیکیشنها را نصب کنید.
-
سطح دسترسیهای مشکوک را بررسی و محدود کنید.
-
فعالسازی accessibility را با دقت بالا بررسی کنید.
Indicators of Compromise (IoCs)
پکیج آلوده:com.example.mysoul
سرورهای C2:۳۸.۵۴.۱۱۹.۹۵, busketmonmaster, d7472ad157[.]lol, ksicngtw[.]org
زیرساخت Cloudflare:۱۰۴.۲۱.۵۲.۲۱۴, ۱۷۲.۶۷.۲۰۴.۲۷
دامنههای مخرب شناختهشده:check-googlle[.]com, update-chronne[.]com, phantomisyourextension[.]com, symbieitc[.]com, ronnin-v2[.]com, symblatic[.]com, miner-tolken[.]com, ronnnn[.]com, bplnetempresas[.]com, tradr0ger[.]cloud, update-chronne[.]com, mondiale-relaissupport[.]com, chalnlizt[.]org, phaimtom[.]com, و دهها مورد دیگر.
یک نظر