Son araştırmalar, Android cihazlar için geliştirilen ve başlangıçta yanlışlıkla TgToxic olarak tanımlanan yeni bir kötü amaçlı yazılım türünü ortaya çıkardı.
Bazı bot komut benzerliklerine rağmen, artık ToxicPanda olarak adlandırılan bu kötü amaçlı yazılım, orijinal kaynağından önemli bir kod farklılığı sergiliyor.
Temel TgToksik yeteneklerden yoksundur ve işlevsel uygulama olmadan yer tutucu komutlara sahiptir.
Kötü amaçlı yazılım, Cihaz Üzerinde Dolandırıcılık (ODF) yoluyla Hesap Devralmayı (ATO) mümkün kılmak için Uzaktan Erişim yeteneklerinden yararlanarak, tehdit aktörlerinin daha az karmaşık tekniklerle bile algılamayı atlamasına ve çok çeşitli bankacılık müşterilerini hedeflemesine olanak tanıyor.
Muhtemelen Çince konuşan tehdit aktörleri tarafından işletilen ToxicPanda botnet’i, başta İtalya, Portekiz, İspanya, Fransa ve Peru olmak üzere 1.500’den fazla Android cihaza bulaştı ve hedefleme stratejilerinde potansiyel bir değişime işaret etti.
Şirket içi bir SOC oluşturun veya Hizmet Olarak SOC’yi dış kaynak olarak kullanın -> Maliyetleri Hesaplayın
Bankacılık truva atı örneği, büyük olasılıkla geliştiricilerin yeni hedefler konusundaki deneyimsizliği ve daha katı düzenlemeler nedeniyle, basitleştirilmiş gizlemeye ve ATS gibi gelişmiş özelliklerin kaldırılmasına yol açan, atası TGToxic’e kıyasla daha düşük teknik yetenekler gösteriyor.
Gelişmiş bir Android bankacılık truva atı, yükseltilmiş ayrıcalıklar elde etmek, virüslü cihazları uzaktan kontrol etmek, OTP’leri engellemek ve tespit edilmekten kaçınmak için gizleme teknikleri kullanmak için erişilebilirlik hizmetlerinden yararlanır.
Bu, saldırganların cihaz üzerinde dolandırıcılık yapmasına ve hassas finansal bilgileri çalmasına olanak tanır.
APK, belirli Android sistemlerini ve satıcılarını hedefleyen yapılandırma dosyalarını içerir. Sistem düzeyindeki uygulamaları ve yardımcı programları tanımlayıp bunlara müdahale ederek, kullanıcıların sistem ayarları ve güvenlik izinleriyle etkileşimlerini engellemeyi amaçlamaktadır.
“langs.json” dosyası, Çince dizeye ve uygulama paketine dayalı olarak hedef cihazları eşleştirmek için yürütme sırasında ayrıştırılır ve potansiyel olarak hedef ülkeleri dil ilişkilendirmeleri (örneğin, İspanyolca ve LATAM) aracılığıyla açığa çıkarır.
Kötü amaçlı yazılım telefon albümlerine erişiyor, görüntüleri BASE64’e dönüştürüyor ve bunları bir C2 sunucusuna göndererek oturum açma kimlik bilgileri ve sanal kart ayrıntıları gibi hassas bilgileri çalıyor.
Yapılandırma dosyası, iletişim için Çin genel DNS hizmetinin (114DNS) kullanıldığını ortaya koyuyor; bu da Çinli tehdit aktörleriyle olası bağları ortaya koyuyor ve bu bölgenin kötü amaçlı yazılımın operasyonları için bir test alanı olabileceğini gösteriyor.
ToxicPanda ve TgToxic 61 benzersiz komut paylaşıyor ve bu da geliştiricileri arasında potansiyel bir bağlantı olduğunu gösteriyor. ToxicPanda yeni komutlar sunsa ve özellikle kullanıcı arayüzü otomasyonuyla ilgili olmak üzere bazı TgToxic komutları için uygulamadan yoksun olsa da, komut adlarındaki çakışma oldukça şüphelidir.
Cleafy’ye göre, ToxicPanda kötü amaçlı yazılımı üç sabit alan (dksu) kullanıyor[.]üst, mixcom[.]bir, freebasic[.]cn), DGA’lar veya yapılandırma güncellemeleri gibi dinamik C2 uç nokta belirleme tekniklerinin karmaşıklığından yoksun olan C2 sunucusuna bağlanmak için.
Başlangıçta sabit kodlanmış bir C2 etki alanına bağlanır; burada C2 sunucusu bu etki alanını bir komut aracılığıyla uzaktan değiştirebilir.
İlk HTTPS bağlantısından sonra bir JSON yanıtı, daha fazla iletişim için bir WebSocket bağlantısı kurar.
ToxicPanda C2 paneli araştırması, teknikler, güvenliği ihlal edilmiş cihazlar ve virüs bulaşmış cihazlardaki eylemler de dahil olmak üzere TA operasyonlarına ilişkin önemli bilgiler sağladı.
ToxicPanda C2 panelinin “Makine Yönetimi” arayüzü, güvenliği ihlal edilen her Android cihazı hakkında ayrıntılı bilgi sağlayarak dolandırıcılık operatörlerinin botnet’i verimli bir şekilde yönetmesine ve dolandırıcılık faaliyetleri için belirli cihazları hedeflemesine olanak tanır.
Web tabanlı bir arayüz aracılığıyla kontrol edilir ve ağırlıklı olarak İtalyan cihazları hedef alarak uzaktan cihaz kontrolüne, komut dosyası güncellemelerine ve ODF saldırılarına olanak tanır.
Portekiz, Hong Kong, İspanya ve Peru’da önemli bir varlığı var ve bu da coğrafi kapsamının genişlediğini gösteriyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!