ضرب برنامج الفدية ToxicPanda المصارف في جميع أنحاء أوروبا وأمريكا اللاتينية

في أكتوبر 2024، اكتشف فريق معلومات التهديد في Cleafy حملة جديدة لفيروس تروجان البنكي Android، تم ربطها في البداية بعائلة TgToxic المعروفة من البرامج الضارة. ومع ذلك، بعد التحقيق المستفيض، أصبح واضحًا أن هذا البرنامج الضار الجديد كان مختلفًا، مما دفع الخبراء لتتبعه تحت اسم ToxicPanda.

في تقريرهم الأخير، يشرح المحللون أن ToxicPanda مصمم لسرقة الأموال من الأجهزة المخترقة عن طريق تجاوز إجراءات الأمان البنكية.

يستخدم البرنامج الخبيث تقنية تُعرف بـ “الاحتيال على الجهاز” (ODF)، والتي تسمح للمهاجمين بالسيطرة على حساب الضحية في البنك دون علم الشخص. يمكنه تجاوز أنظمة التحقق من الهوية وكشف السلوك التي تستخدمها البنوك لرفع العلم على الأنشطة المشبوهة.

يشرح الباحثون أن ToxicPanda يعمل من خلال استغلال خدمات الوصول في أندرويد. هذا يسمح له بالسيطرة على جهاز الضحية، واعتراض كلمات المرور لمرة واحدة (OTP)، وتنفيذ عمليات بنكية احتيالية. كما يمكنه أيضًا إخفاء وجوده على الهاتف، مما يجعله أصعب لبرامج مكافحة الفيروسات للكشف عنه.

ومع ذلك، تشير التقارير إلى أن البرمجة الضارة لا تزال في مراحلها الأولى من التطوير. بعض أجزاء الكود غير مكتملة، مع وجود أوامر لا تقوم بأي شيء حتى الآن.

على الرغم من ذلك، تمكنت ToxicPanda بالفعل من إصابة أكثر من 1500 جهاز أندرويد في إيطاليا والبرتغال وإسبانيا وأمريكا اللاتينية. تُستخدم هذه الأجهزة المصابة في هجمات على 16 مؤسسة بنكية مختلفة.

يشتبه أن الجهات الفاعلة المهددة (TAs) وراء ToxicPanda هم متحدثون باللغة الصينية، مما يشير إلى تغيير في المناطق التي يستهدفونها.

من غير المألوف أن يركز المجرمون الإلكترونيون الناطقون باللغة الصينية على الاحتيال المصرفي في أوروبا وأمريكا اللاتينية. يقترح الباحثون أن هذا قد يشير إلى تغيير محتمل في تركيزهم التشغيلي.

على الرغم من أن ToxicPanda ليس متقدمًا مثل بعض البرامج الضارة الأخرى الموجهة للبنوك، إلا أنه يشترك في التشابهات مع البرامج الضارة السابقة مثل TgToxic.

يشير التقرير إلى أن المطورين لهذا البرنامج الضار يبدو أنهم جدد في استهداف المؤسسات المالية خارج مناطقهم المحلية، وهو ما قد يفسر بساطة الكود البرمجي والميزات المحدودة له.

لقد كان انتشار ToxicPanda كبيرًا، حيث شهدت إيطاليا أعلى عدد من الإصابات، تليها دول مثل البرتغال وإسبانيا وبيرو. يشير هذا الانتشار الجغرافي الواسع إلى أن مُنشئي البرامج الخبيثة يوسعون نطاق أهدافهم لتشمل المزيد من الدول، خاصة في أمريكا اللاتينية.

وفي الختام، يعد ToxicPanda تهديدًا متناميًا يسلط الضوء على الدقة المتزايدة في احتيال الخدمات المصرفية المحمولة. بينما لا يزال البرنامج الخبيث قيد التطوير، يظهر انتشاره السريع عبر مناطق متعددة أن الجناة الإلكترونيين أصبحوا أكثر تركيزًا على استغلال الأنظمة المصرفية عالميًا.