독성팬더 맬웨어, 유럽 및 라틴아메리카 은행을 공격하다

2024년 10월, Cleafy의 위협 정보 팀은 새로운 안드로이드 은행 트로이 목마 캠페인을 발견했습니다. 이것은 초기에는 알려진 TgToxic 맬웨어 가족과 연결되어 있었습니다. 그러나 추가 조사 후, 이 새로운 맬웨어는 다르다는 것이 분명해졌고, 전문가들이 이를 ToxicPanda라는 이름으로 추적하기 시작했습니다.

그들의 최근 보고서에서, 분석가들은 ToxicPanda가 은행 보안 조치를 우회하여 손상된 장치에서 돈을 훔치도록 설계되었다고 설명합니다.

해당 맬웨어는 ‘기기 내 사기(On-Device Fraud, ODF)’라는 기술을 사용하여, 공격자가 피해자의 은행 계좌를 통제할 수 있도록 합니다. 이를 통해 피해자가 모르는 사이에 은행 계좌를 조종할 수 있습니다. 이 맬웨어는 은행이 의심스러운 활동을 감지하기 위해 사용하는 신원 확인 및 행동 감지 시스템을 우회할 수 있습니다.

연구자들은 ToxicPanda가 안드로이드의 접근성 서비스를 악용하여 작동한다고 설명합니다. 이를 통해 피해자의 기기를 통제하고, 일회용 비밀번호(OTP)를 가로채고, 사기성 은행 거래를 진행할 수 있습니다. 또한, 휴대폰에 있는 자신의 존재를 숨기므로, 안티바이러스 소프트웨어가 감지하기 어려워집니다.

그러나 이 보고서에서는 이 멀웨어가 아직 초기 개발 단계에 있다고 지적하고 있습니다. 코드의 일부는 불완전하며, 아직 아무런 기능을 하지 않는 명령어들이 있습니다.

그럼에도 불구하고, ToxicPanda는 이미 이탈리아, 포르투갈, 스페인, 라틴 아메리카 전역의 1,500대 이상의 안드로이드 기기를 감염시켰습니다. 이렇게 감염된 기기들은 16개의 다른 은행 기관에 대한 공격에 사용되고 있습니다.

ToxicPanda라고 알려진 위협 행위자들(TAs)이 중국어 사용자라는 추정이 제기되고 있습니다. 이는 그들이 대상으로 삼는 지역에 변화가 있음을 나타내는 것일 수 있습니다.

중국어를 사용하는 사이버 범죄자들이 유럽과 라틴 아메리카의 은행 사기를 주요 대상으로 삼는 것은 이례적입니다. 연구자들은 이것이 그들의 운영 초점에 잠재적인 변화를 시사할 수 있다고 제안하고 있습니다.

ToxicPanda가 다른 일부 은행 트로이 목마보다는 발전된 수준이 아니지만, 이전의 TgToxic과 같은 악성 소프트웨어와 유사성을 공유하고 있습니다.

이 보고서는 이 악성 소프트웨어의 개발자들이 자신들의 본토 외의 금융 기관을 대상으로하는 것이 새로운 경험인 것 같아 보인다고 제안합니다. 이로 인해 그들의 코드가 다소 기본적이고 기능이 제한적인 것으로 보일 수 있습니다.

ToxicPanda의 확산은 상당히 크게 일어났으며, 이탈리아에서 가장 많은 감염 사례를 보였습니다. 그 뒤를 이어 포르투갈, 스페인, 페루 등의 국가들이 있습니다. 이러한 넓은 지역적 범위는 맬웨어 제작자들이 더 많은 국가들, 특히 라틴 아메리카를 대상으로 확장하고 있다는 신호입니다.

결론적으로, ToxicPanda는 모바일 뱅킹 사기의 복잡성이 증가함을 보여주는 성장하는 위협입니다. 이 맬웨어는 아직 개발 중이지만, 다양한 지역에 빠르게 확산되고 있다는 사실은 사이버 범죄자들이 전세계 은행 시스템을 악용하는 데 더욱 집중하고 있다는 것을 보여줍니다.