Исследователи из Resecurity обнаружили, что Panda Shop уже активно рекламируется в Telegram и включает ботов, каналы поддержки и возможности кастомизации атак. По данным отчёта, разработчики открыто заявляют, что не опасаются ФБР, поскольку находятся в Китае и чувствуют себя вне досягаемости западных правоохранительных органов.
Основная особенность инструмента — полная автоматизация процесса, согласно Securitylab. Сотни шаблонов имитируют интерфейсы служб доставки, правительственных сайтов, банков и интернет-провайдеров. Атаки часто нацелены на пользователей Apple Pay, Google Wallet и традиционных карт, собирая данные для последующей продажи на подпольных маркетплейсах.
Чтобы усилить масштаб атак, злоумышленники закупают скомпрометированные аккаунты Apple ID и Gmail и используют IP-сервисы, чтобы фильтровать «неподходящие» цели и обходить защитные механизмы. Часть фишинговых страниц визуально неотличима от реальных сайтов, например, почтовых служб или банков, и идеально адаптирована под мобильные браузеры.
Кроме интернет-каналов, группировка подключает SMS-шлюзы и оборудование операторского класса для рассылки миллионов сообщений напрямую на SIM-карты, включая абонентов за пределами США. В отчёте отмечается, что эти действия наносят ущерб на десятки, а возможно и сотни миллионов долларов ежегодно.
Следы ведут к бывшим участникам группировки Smishing Triad, которая ранее стала объектом публичных расследований. Panda Shop выглядит как её перезапуск с обновлённым интерфейсом, расширенным функционалом и новым позиционированием в криминальной среде.
По данным Resecurity, операции ведутся из часового пояса Шанхая, а один из используемых доменов зарегистрирован через китайскую компанию, ранее замеченную в нарушении правил ICANN. Несмотря на масштаб преступлений, основная часть задержаний касается лишь подставных лиц, снимающих деньги в банкоматах, тогда как организаторы остаются безнаказанными.