ToxicPanda می تواند انتقال پول را آغاز کند و حتی کدهای MFA را بگیرد

تروجان بانکی مشتریان اروپا و آمریکای لاتین را هدف قرار داده است

بیش از 1500 دستگاه در حال حاضر در معرض خطر قرار گرفته اند

یک هکر چینی دستگاه‌های اندرویدی را در اروپا و آمریکای لاتین با یک تروجان بانکی هدف قرار می‌دهد که می‌تواند از حساب‌های قربانیان پول بدزدد.

گزارش جدیدی از محققان امنیت سایبری Cleafy او میگوید که تروجان ToxicPanda کاملاً شبیه به یک بدافزار قدیمی‌تر شناخته شده به نام TgToxic است که برای اولین بار در سال 2023 مشاهده شد. نسخه، از آنجایی که به نظر می‌رسد بسیاری از ویژگی‌ها حذف شده‌اند، و برخی به عنوان متغیرهایی ساده باقی مانده‌اند.

با وجود سبک‌تر بودن، ToxicPanda همچنان یک بدافزار توانمند است. می‌تواند انتقال پول را آغاز کند، رمزهای عبور یک‌بار مصرف (OTP) ایجاد شده از طریق پیامک یا برنامه‌های احراز هویت را رهگیری کند و ورودی‌های کاربر را دستکاری کند. همچنین می تواند اطلاعات حساس را از دستگاه در معرض خطر سرقت کند و داده ها را از سایر برنامه ها ضبط کند. با این حال، برای انجام همه این کارها، برنامه باید مجوز دسترسی به خدمات دسترسی اندروید را داشته باشد، که یک پرچم قرمز معمول برای بدافزارهای اندرویدی است.

کمپین چند ساله

در هر صورت، بدافزار معمولاً در برنامه‌های جعلی Chrome، Visa یا 99 Speedmart پنهان می‌شود که به احتمال زیاد از طریق وب‌سایت‌های شخص ثالث، کانال‌های رسانه‌های اجتماعی و احتمالاً فیشینگ توزیع می‌شوند. برنامه‌های مخرب را نمی‌توان در مخازن رسمی برنامه‌ها ( فروشگاه Google Play ، فروشگاه برنامه سامسونگ یا موارد مشابه) پیدا کرد، و محققان هنوز در مورد نحوه تبلیغ برنامه‌ها در سراسر وب حدس می‌زنند.

به نظر می رسد تا کنون عامل تهدید بیش از 1500 دستگاه اندرویدی را آلوده کرده است. اکثریت در ایتالیا (56.8٪) و پرتغال (18.7٪) واقع شده اند و سایر موارد قابل ذکر عبارتند از هنگ کنگ (4.6٪)، اسپانیا (3.9٪) و پرو (3.4٪). محققان این اطلاعات را با دسترسی به پنل فرمان و کنترل ToxicPanda (C2) کشف کردند.

مکانیسم‌های دفاعی در برابر این نوع حملات یکسان است - مراقب باشید که برنامه‌ها را فقط از منابع تأیید شده دانلود کنید.

از طریق The Hacker News

شما هم ممکن است دوست داشته باشید