ToxicPanda Zararlı Yazılımı Avrupa ve Latin Amerika’daki Bankaları Vuruyor

Ekim 2024’te, Cleafy’nin Tehdit İstihbarat ekibi, başlangıçta bilinen TgToxic zararlı yazılım ailesiyle bağlantılı olan yeni bir Android bankacılık Truva atı kampanyası keşfetti. Ancak, daha fazla araştırma yapıldıktan sonra, bu yeni zararlı yazılımın farklı olduğu anlaşıldı ve uzmanlar onu ToxicPanda adı altında takip etmeye başladılar.

Uzmanlar, son raporlarında, ToxicPanda’nın banka güvenlik önlemlerini atlayarak tehlikeye giren cihazlardan para çalmak üzere tasarlandığını açıklıyorlar.

Bu zararlı yazılım, On-Device Fraud (ODF) adı verilen bir teknik kullanır. Bu teknik, saldırganların bir kişinin banka hesabını, kişinin haberi olmadan kontrol etmelerine olanak sağlar. Bu, bankaların şüpheli aktiviteleri belirlemek için kullandığı kimlik doğrulama ve davranış tespit sistemlerini atlatabilir.

Araştırmacılar, ToxicPanda’nın Android’in erişilebilirlik hizmetlerini kullanarak çalıştığını açıklıyor. Bu, onun bir kurbanın cihazının kontrolünü ele geçirmesine, tek seferlik şifreleri (OTP’leri) yakalamasına ve dolandırıcılık amaçlı banka işlemlerini gerçekleştirmesine olanak sağlar. Ayrıca telefon üzerindeki varlığını da gizleyebilir ve bu da antivirüs yazılımlarının onu tespit etmesini zorlaştırır.

Ancak, rapor, zararlı yazılımın hala erken geliştirme aşamasında olduğunu belirtiyor. Kodun bazı bölümleri tamamlanmamış olup, henüz herhangi bir işlem yapmayan komutlar içeriyor.

Buna rağmen, ToxicPanda zaten İtalya, Portekiz, İspanya ve Latin Amerika’da 1.500’ün üzerinde Android cihazı enfekte etmeyi başardı. Bu enfekte cihazlar, 16 farklı bankacılık kurumuna yapılan saldırılarda kullanılıyor.

ToxicPanda’nın arkasındaki tehdit unsurlarının (TAs) Çince konuşan kişiler olduğu düşünülüyor, bu da hedefledikleri bölgelerde bir değişimi işaret ediyor.

Çince konuşan siber suçluların Avrupa ve Latin Amerika’da bankacılık dolandırıcılığına odaklanması alışılmadık bir durum. Araştırmacılar, bu durumun operasyonel odaklarında potansiyel bir değişikliği gösterebileceğini öne sürüyor.

ToxicPanda, bazı diğer bankacılık truva atları kadar gelişmiş olmasa da, TgToxic gibi önceki zararlı yazılımlarla benzerlikler taşımaktadır.

Rapor, zararlı yazılımın geliştiricilerinin, kendi ev bölgelerinin dışında hedef alınan finans kurumlarına yeni başlamış olabileceğini öne sürüyor, bu da onun biraz basit kodunu ve sınırlı özelliklerini açıklayabilir.

ToxicPanda’nın yayılımı oldukça önemli olmuştur. En çok enfeksiyonun görüldüğü ülke İtalya olurken, bu ülkeyi Portekiz, İspanya ve Peru gibi ülkeler takip etmekte. Bu geniş coğrafi yayılım, zararlı yazılım yaratıcılarının hedeflerini, özellikle Latin Amerika’daki daha fazla ülkeyi içerecek şekilde genişlettiklerini gösteriyor.

Sonuç olarak, ToxicPanda, mobil bankacılık dolandırıcılığının artan karmaşıklığını vurgulayan büyüyen bir tehdittir. Zararlı yazılım hala geliştirme aşamasında olmasına rağmen, hızlı yayılması, siber suçluların dünya çapındaki bankacılık sistemlerini sömürmeye daha çok odaklandığını göstermektedir.
Bu metnin çevirisi gerektiren bir içeriği bulunmamaktadır. Belirtilen semboller [ ], %% , <> içindeki içerik çevrilmemesi gerektiği için verilen metin bu sembollerin dışında herhangi bir içerik içermemektedir.