Araştırmacılar, başlangıçta Toxic bankacılık Truva Atı ailesinin bir parçası olduğundan şüphelenilen yeni bir botnet’i, ToxicPanda adıyla tamamen yeni bir yan ürün türü olarak belirlediler.

Cleafy’nin yeni bulgularına göre ToxicPanda bankacılık botu, İtalya, Portekiz, İspanya ve Latin Amerika’da en az 1.500 ayrı cihazda aktif olarak en az 16 farklı finans kuruluşundan para çalmaya çalışıyor. Cleafy ekibi, ToxicPanda’nın arkasındaki Çince konuşan tehdit aktörlerinin, hedeflenen cihazı ele geçirmek ve bankaların kimlik ve kimlik doğrulama korumalarını aşarak dolandırıcılık para transferleri başlatmak için kötü amaçlı yazılım kullandığı konusunda uyardı.

“Uzaktan erişim yetenekleri, tehdit aktörlerinin doğrudan virüslü cihazdan hesap ele geçirme (ATO) gerçekleştirmesine olanak tanıyor ve böylece cihaz içi Dolandırıcılık (ODF) tekniğinden yararlanıyor.” Cleafy raporu açıklandı. “Bu tekniğin bu şekilde birleştirilmesi, diğer bankacılık Truva Atları tarafından zaten görüldü. MedusaCopybara ve yakın zamanda BingoMod.”

Bu basitleştirilmiş, manuel yaklaşım Android bankacılık Truva Atı Araştırmacılar, tehdit aktörlerine yüksek vasıflı geliştiricileri kullanmak zorunda kalmama avantajı sağladığını, daha geniş bir bankacılık müşterisi yelpazesini mağdur etme potansiyelini ortaya çıkardığını ve finansal hizmetler ve bankalar tarafından kullanılan birçok siber güvenlik korumasını atladığını belirtti.

Daha da önemlisi, kod analizi ToxicPanda’nın geliştirme sürecinin ilk aşamalarında olduğunu ortaya çıkardı. Ancak Cleafy ekibi, bunun, izinleri artırmak için Android’in erişilebilirlik hizmetlerinden yararlanma ve uygulamalardan veri yakalama yeteneği de dahil olmak üzere etkileyici bir dizi özelliğe sahip olmadığı anlamına gelmediğini belirtti.

Ayrıca ToxicPanda, tehdit aktörünün virüslü cihazın uzaktan kontrolünü ele geçirmesine ve kullanıcıların bilgisi olmadan para transferi gibi eylemler başlatmasına olanak tanıyor. Bankacılık Truva Atı ayrıca metin veya kimlik doğrulama uygulaması tarafından gönderilen tek seferlik şifreleri de ele geçirerek çok faktörlü kimlik doğrulama korumalarını tamamen ortadan kaldırır. Son olarak ToxicPanda, tespit edilmeyi önlemek için kod gizleme hileleriyle donatılmıştır.

Raporda, ToxicPanda’nın artmasının, Çince konuşan tehdit aktörlerinin geleneksel Güneydoğu Asya köklerinin dışındaki yeni bölgelere yayılmak için operasyonlarını güçlendirdiklerine işaret ettiği uyarısı yapılıyor.

Cleafy’nin raporunda, “Bu eğilim, pazarın kötü amaçlı yazılımlara giderek daha fazla doymuş olması ve yeni tehdit aktörlerinin ortaya çıkması nedeniyle mobil güvenlik ekosisteminin artan zorluklarının altını çiziyor.” ifadesine yer verildi. “Bu analizden kaynaklanan önemli bir soru, yalnızca ToxicPanda gibi tehditlere karşı nasıl savunma yapılacağı değil, aynı zamanda çağdaş antivirüs çözümlerinin neden teknik açıdan nispeten basit bir tehdidi tespit etmekte zorlandığıdır. Tek bir cevap olmasa da, proaktif önlemlerin eksikliği , gerçek zamanlı tespit sistemleri öncelikli bir konudur.”

Google, Aktif Olarak İstismar Edilen İki Android Kusurunu Düzeltiyor

Çince konuşan gruplar, cihazlara ilk erişim elde etmeye çalışırken, geniş ölçekli saldırılarda genellikle Android’in güvenlik açıklarından yararlanıyor.

Buna uygun olarak 4 Kasım’da Google düzinelerce uygulama için yama yayınladı. Android güvenlik açıkları Kasım ayı güncellemesinin bir parçası olarak, bunlardan ikisi zaten istismar edilmiş olan CVE-2024-43047 ve CVE-2024-43093’tür. Google ayrıntıları açıklamasa da ilki, ticari casus yazılım faaliyetlerini izlemesiyle tanınan Uluslararası Af Örgütü ve Google’ın Tehdit Analiz Grubu tarafından keşfedildi. İkincisi, Android çerçevesindeki yüksek önem derecesine sahip bir ayrıcalık yükseltme kusurudur.

Google, “sınırlı ve hedefli kullanım altında olabilecek” kusurları açıklamanın ötesinde ek ayrıntı sağlamadı.

Son gelişmeleri kaçırmayın Dark Reading Gizli podcast’i, NIST’in kuantum sonrası kriptografi standartları ve siber güvenlik uygulayıcıları için sırada ne olacağı hakkında konuştuğumuz yer. General Dynamics Bilgi Teknolojisi (GDIT) ve Carnegie Mellon Üniversitesi’nden konuklar her şeyi ayrıntılı olarak anlatıyor. Şimdi dinle!



siber-1