Toxicpanda olarak bilinen sofistike bir Android bankacılığı Truva atı, son yıllarda gözlemlenen en önemli mobil bankacılık kötü amaçlı yazılım kampanyalarından birini temsil eden Avrupa genelinde 4500’den fazla mobil cihaza başarıyla sızdı.
Kötü amaçlı yazılım özellikle bankacılık ve dijital cüzdan uygulamalarını hedefler, oturum açma kimlik bilgilerini, pim kodlarını ve desen kilitlerini çalmak için gelişmiş kaplama teknikleri kullanır ve siber suçluların yetkisiz finansal işlemleri uzaktan gerçekleştirmesini sağlar.
Toxicpanda, bankacılık ve finansal uygulamalardan hassas finansal bilgileri toplamak için Android cihazlarına sızan son derece gelişmiş bir bankacılık Truva atı olarak faaliyet göstermektedir.
Kötü amaçlı yazılım, meşru bankacılık arayüzlerini taklit eden piksel mükemmel kimlik avı kaplamaları oluşturma ve kullanıcıları kimlik bilgilerini doğrudan kötü niyetli formlara girmeye aldatma yeteneği ile dikkate değer bir gelişmişlik göstermektedir.
Kurulduktan sonra, Trojan saldırganlara tehlikeye atılan cihazlar üzerinde kapsamlı bir kontrol verir, bu da iki faktörlü kimlik doğrulama kodlarını kesmelerine, güvenlik önlemlerini atlamalarına ve kullanıcı bilgisi olmadan hileli para transferlerini başlatmalarına izin verir.
İlk olarak trend mikro araştırmacılar tarafından 2022’de tanımlanan Toxicpanda, 2024’te Avrupa bölgelerine erişimini genişletmeden önce operasyonlarını Güneydoğu Asya pazarlarına odakladı.
Kötü amaçlı yazılım kampanyası, mevcut operasyonların öncelikle Portekiz ve İspanya’da yoğunlaştığı önemli büyüme ve coğrafi yeniden dağıtım göstermiştir.
Bitsight analistleri, 2025 yılının başlarında kötü amaçlı yazılımların hedefleme stratejisinde önemli bir değişim belirledi ve Portekizli cihazların artık yaklaşık 3000 enfeksiyonu oluşturduğunu, İspanyol cihazlarının yaklaşık 1000 uzlaştırılmış sistemi temsil ettiğini belirtti.
Mevcut Avrupa kampanyası, İber Yarımadası’na odaklanan kasıtlı bir hedefleme stratejisini ortaya koyuyor ve Portekiz ve İspanya toplu olarak gözlenen tüm küresel enfeksiyonların% 85’inden fazlasını temsil ediyor.
.webp)
Kötü amaçlı yazılım, Samsung S serisi cihazlar da dahil olmak üzere premium modeller de tehlikeye atılmış olsa da, Samsung A serisi Xiaomi Redmi ve Oppo A modelleri ile Samsung A serisi Xiaomi Redmi ve Oppo A modelleri ile özel bir afinite gösterir.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
Toxicpanda, geleneksel kaldırma yöntemlerini etkisiz hale getiren ve kötü amaçlı yazılım yazarlarının Android güvenlik mimarisini derinlemesine anlayarak gösteren sofistike kalıcılık tekniklerini kullanır.
Truva atı, Android’in erişilebilirlik hizmetleri çerçevesini, başlangıçta engelli kullanıcılara yardımcı olmak, yüksek ayrıcalıklar elde etmek ve enfekte olmuş cihazlar üzerinde kalıcı kontrol sağlamak için tasarlanmıştır.
.webp)
Kötü amaçlı yazılım, paket kaldırma, değiştirme ve veri temizleme işlemleri dahil olmak üzere sistem olaylarını izleyen dinamik yayın alıcı kaydı yoluyla birden fazla kalıcılık katmanı uygular.
Kullanıcılar uygulamayı geleneksel yöntemler aracılığıyla kaldırmaya çalıştıklarında, Toxicpanda ayarları Windows’u otomatik olarak kapatır ve kullanılabilirlik hizmeti yapılandırmalarına erişimi engeller.
Truva atı anti-analiz yetenekleri, kum havuzu ortamlarında yürütmeyi önlemek için CPU bilgilerini, sistem özelliklerini ve donanım özelliklerini inceleyen kapsamlı emülatör algılama mekanizmalarını içerir.
Son sürümler, Bluetooth adaptör doğrulaması, ortam ışık sensörü kontrolleri ve telefon servis doğrulaması dahil olmak üzere gelişmiş algılama yöntemlerini içerir.
Kötü amaçlı yazılım, bireysel komut ve kontrol sunucuları tehlikeye girdiğinde bile iletişim esnekliğini sağlayan, sıralı üst düzey etki alanı döngüsü ile birlikte aylık dönen alan adları oluşturan bir etki alanı oluşturma algoritması (DGA) kullanır.
ToxicPanda’nın şifreleme uygulaması, enfekte olmuş cihazlar ve komut altyapısı arasındaki güvenli kanalları koruyarak, birincil iletişim ve DES şifrelemesi için (“0623U25KTT3YO8P9”) ve DES şifrelemesi (“JP202411”) kullanır.
.webp)
Kötü amaçlı yazılım paketi, kapsamlı bir cihaz erişimi elde etmek için 58 farklı Android izin isteyen dahili tanımlayıcı “com.example.mysoul” altında çalışırken “Google Chrome” olarak maskelenir.
Tam kaldırma, kötü amaçlı yazılımın standart kaldırma prosedürlerini önleyen sofistike kendini koruma mekanizmaları nedeniyle Android Hata Ayıklama Köprüsü (ADB) komutları gerektirir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin