ToxicPanda Mobil Kötü Amaçlı Yazılım
ToxicPanda olarak adlandırılan yeni bir Android bankacılık kötü amaçlı yazılımı türü, 1.500'den fazla Android cihazı etkileyerek siber suçluların hileli bankacılık işlemleri gerçekleştirmesini sağladı. ToxicPanda'nın birincil amacı, cihaz içi dolandırıcılık (ODF) olarak bilinen bir teknik kullanarak hesap ele geçirme (ATO) yoluyla tehlikeye atılmış cihazlardan yetkisiz para transferleri başlatmaktır. Bu yöntem, kullanıcıların kimliklerini doğrulamak ve davranış analizi yoluyla alışılmadık işlem kalıplarını tespit etmek için tasarlanmış banka güvenlik önlemlerinden kaçınmayı amaçlamaktadır.
Araştırmacılar, ToxicPanda'nın Çince konuşan bir tehdit aktöründen kaynaklandığına inanıyor. Kötü amaçlı yazılımın, 2023'ün başlarında tanımlanan bir diğer Android kötü amaçlı yazılımı olan TgToxic ile dikkate değer benzerlikleri var. TgToxic, kripto para cüzdanlarından kimlik bilgilerini ve fonları çalabilir.
İçindekiler
ToxicPanda Çeşitli Ülkeleri Hedef Alıyor
Enfeksiyonların çoğu İtalya'da (%56,8) gözlemlendi, ardından Portekiz (%18,7), Hong Kong (%4,6), İspanya (%3,9) ve Peru (%3,4) geldi. Bu, Çinli bir tehdit aktörünün hem Avrupa'da hem de Latin Amerika'da perakende bankacılık kullanıcılarını hedef aldığı alışılmadık bir durum.
Bu bankacılık Truva Atı, analizin öncülünün sadeleştirilmiş bir versiyonu olduğunu ortaya koymasıyla erken aşamalarında görünüyor. Otomatik Transfer Sistemi (ATS), Easyclick ve karartma rutinleri gibi temel özellikler kaldırılırken, daha geniş bir veri yelpazesi çıkarmak için 33 yeni komut eklendi.
Ayrıca, TgToxic ve ToxicPanda arasında 61 komut paylaşılıyor, bu da aynı tehdit aktörünün veya yakın ortaklarının bu kötü amaçlı yazılım ailesinin arkasında olma olasılığını gösteriyor. ToxicPanda, TgToxic ailesiyle bazı bot komut benzerliklerini korusa da, kodu önemli ölçüde farklılık gösteriyor. TgToxic'e özgü birkaç işlev eksik ve bazı komutlar gerçek bir işlevi olmayan yer tutucular gibi görünüyor.
ToxicPanda Bankacılık Truva Atı Nasıl Çalışır?
Kötü amaçlı yazılım, meşru uygulama mağazası listelerini taklit eden sahte web siteleri aracılığıyla dağıtılan Google Chrome, Visa ve 99 Speedmart gibi iyi bilinen uygulamalar gibi kendini gizler. Bu bağlantıların nasıl paylaşıldığı veya kötü amaçlı reklamcılık veya smishing gibi tekniklerin söz konusu olup olmadığı belirsizliğini koruyor.
ToxicPanda, yan yükleme yoluyla yüklendikten sonra, Android'in erişilebilirlik hizmetlerini kullanarak yükseltilmiş izinler elde eder, kullanıcı girdilerini otomatikleştirir ve diğer uygulamalardan veri yakalar. SMS veya kimlik doğrulama uygulamaları aracılığıyla gönderilen tek seferlik parolaları (OTP'ler) yakalayabilir ve saldırganların iki faktörlü kimlik doğrulamayı (2FA) atlatmasına ve yetkisiz işlemleri tamamlamasına olanak tanır.
Veri toplamanın ötesinde, kötü amaçlı yazılımın birincil işlevi saldırganların tehlikeye atılan cihazı uzaktan kontrol etmelerini ve cihaz üzerinde dolandırıcılık (ODF) gerçekleştirmelerini sağlayarak, kurbanın haberi olmadan yetkisiz para transferlerini kolaylaştırıyor.
Araştırmacılar, ToxicPanda'nın Komuta ve Kontrol (C2) paneline eriştiklerini bildiriyor. Bu Çince arayüzde, operatörler model ve konum ayrıntıları dahil olmak üzere enfekte cihazların bir listesini görüntüleyebilir ve hatta bunları botnetten kaldırabilir. Panel ayrıca operatörlerin ODF etkinliklerini yürütmek için cihazlara gerçek zamanlı uzaktan erişim talep etmelerini sağlar.
ToxicPanda, Siber Suçlular Tarafından Erken Geliştirme Aşamasında Olabilir
ToxicPanda, analizini daha zor hale getirecek daha karmaşık veya belirgin yetenekler sergilemedi. Ancak, günlük verileri, kullanılmayan kod ve hata ayıklama dosyaları gibi unsurlar, kötü amaçlı yazılımın ya geliştirmenin erken aşamalarında olabileceğini ya da özellikle TGToxic ile benzerlikleri düşünüldüğünde önemli bir kod yeniden düzenlemesinden geçiyor olabileceğini gösteriyor.
