Cleafyは11月4日(現地時間)、「ToxicPanda: a new banking trojan from Asia hit Europe and LATAM|Cleafy Labs」において、Android向けの新しいバンキング型マルウェア「ToxicPanda」を発見したと伝えた。このマルウェアは銀行アカウントを乗っ取り、侵害したデバイスから送金を行うという。
-
ToxicPanda: a new banking trojan from Asia hit Europe and LATAM|Cleafy Labs
バンキング型マルウェア「ToxicPanda」とは
Cleafyの報告によると、2024年10月下旬、TgToxicと呼ばれる既知のマルウェアの大幅な増加を観測したという。このマルウェアは2023年にTrendMicroにより文書化されているが、その後の調査でTgToxicの特徴的な機能が欠落しており、そのコードも大きく異なることが判明したとのこと(参考:「TgToxic Malware’s Automated Framework Targets Southeast Asia Android Users | Trend Micro (US)」)。
新しく発見されたマルウェアは、Cleafyにより「ToxicPanda」と名付けられている。ToxicPandaの調査中、複数の有名なアイコンの存在が確認されており、これらアプリに偽装してマルウェアが配布されたとみられている。
-
不正なアプリを配布するWebページの例 引用:Cleafy
ToxicPandaの主な機能は次のとおり。
- アクセシビリティサービスを悪用し、権限の不正取得、ユーザー入力の操作、他のアプリデータの窃取を行う
- デバイスの遠隔操作
- 画像の窃取
- ショートメッセージサービス(SMS: Short Message Service)および認証アプリのワンタイムパスワードを窃取する
- 難読化技術による分析の妨害。TgToxicと比較して技術水準は低下している
Cleafyは調査の過程にて攻撃者のコマンド&コントロール(C2: Command and Control)サーバへのアクセスに成功している。その表示から攻撃者は中国語を母国語とする人物またはグループと推測されている。
-
C2ダッシュボード 引用:Cleafy
影響と対策
マルウェアの感染デバイスは合計1,500台以上とされる。被害デバイスを地域ごとに分類するとイタリアが最も多く(56.8%)、これにポルトガル(18.7%)、香港(4.6%)、スペイン(3.9%)、ペルー(3.4%)が続く。日本国内にも若干名の被害者がいるとみられている。
-
被害デバイスの分布図 引用:Cleafy
ToxicPandaは開発の初期段階にあると推測されており、脅威の拡大が懸念されている。Cleafyは明確な対策方法を提示していないが、マルウェアが悪意のあるアプリとして配布されていることから、Google Playからのみアプリをインストールすることが有効な対策と考えられる。
Webカメラの映像流出に注意、日本は流出量で世界第2位
