ToxicPanda Bankacılık Truva Atı 1.500’den Fazla Android Akıllı Telefona Bulaştı, 16 Bankayı Hedef Aldı: Rapor

Geliştirme aşamasında olduğuna inanılan bir bankacılık truva atı olan ToxicPanda, Avrupa ve Latin Amerika’daki güvenlik araştırmacıları tarafından tespit edildi. 2023’te tespit edilen başka bir bankacılık truva atından türetildiğine inanılıyor ve ele geçirilen telefonlardaki hesapları uzaktan ele geçirmek için kullanılıyor ve saldırganların şüpheli işlemleri durdurmayı amaçlayan güvenlik önlemlerini atlayarak para aktarmalarına olanak tanıyor. ToxicPanda’nın 1.500’den fazla cihazda bulunduğu ve 16 bankacılık kurumunun kullanıcılarını hedef aldığı bildirildi.

Cleafy’s Threat Intelligence’daki araştırmacılar, Ekim ayında, daha önce Güneydoğu Asya’da aktif olarak kullanılan ve grup tarafından geçen yıl tanımlanan bir başka bankacılık truva atı olan TgToxic olduğunu tespit ettikleri yeni bir Android kötü amaçlı yazılım tespit etti. Araştırmacılar, yeni örneğin TgToxic’in özelliklerini içermediğini ve kodun orijinal truva atına benzemediğini buldu.

ToxicPanda truva atı popüler uygulamalar gibi görünüyor
Fotoğraf Kredisi: Cleafy

Sonuç olarak araştırmacılar, yeni tespit edilen uzaktan erişim truva atını (RAT) ToxicPanda olarak izlemeye başladı ve kötü amaçlı yazılımın, kurbanın cihazına virüs bulaşmasının ardından hesabın ele geçirilmesine (ATO) yol açabileceği konusunda uyardı. Cleafy’nin Tehdit İstihbaratı ekibi ayrıca, tehdit aktörlerinin (TA) manuel dağıtımı tercih ederek (yan yükleme, sosyal mühendislik kullanarak) bir bankanın kullanıcıları güvende tutmak için kullandığı güvenlik önlemlerini atlatabileceğini söylüyor.

Kötü amaçlı yazılım, bir kullanıcının cihazındaki neredeyse tüm bilgilere erişmek için Android’deki erişilebilirlik hizmetinden yararlanarak tüm uygulamalardan veri yakalamasına olanak tanıyor. Ayrıca ekranın içeriğini yakalayarak iki faktörlü kimlik doğrulamayı (OTP’ler gibi) atlatabilir.

Araştırmacılara göre ToxicPanda kötü amaçlı yazılımının yaratıcıları Çince konuşan kişiler. ToxicPanda truva atı 1.500’den fazla cihaza bulaştı ve İtalya’daki kullanıcılar en çok etkilenenler oldu; tüm virüslü cihazların yüzde 50’sinden fazlası. Etkilenen diğer yerler arasında Portekiz, İspanya, Fransa ve Peru yer alıyor. 16 bankanın müşterilerinin ToxicPanda truva atı kullanılarak TA’lar tarafından hedef alındığı bildirildi.

Araştırmacılar ayrıca mevcut antivirüs çözümlerinin bu tehditleri tespit etmekte başarısız olduğuna dikkat çekiyor ve bu da “proaktif, gerçek zamanlı bir tespit sistemine” ihtiyaç duyulduğunu gösteriyor. Virüs bulaşmış cihazlardan oluşan bir botnet’in Avrupa ve Latin Amerika ülkelerinde de kullanıldığı tespit edildi; bu da Çin merkezli teknik yardımların artık dikkatlerini diğer pazarlara çevirdiğini gösteriyor.