Programari maliciós mòbil ToxicPanda

Una nova varietat del programari maliciós bancari d'Android, anomenada ToxicPanda, ha infectat més de 1.500 dispositius Android, la qual cosa permet als ciberdelinqüents dur a terme transaccions bancàries fraudulentes. L'objectiu principal de ToxicPanda és iniciar transferències de diners no autoritzades des de dispositius compromesos mitjançant la presa de comptes (ATO) mitjançant una tècnica coneguda com a frau al dispositiu (ODF). Aquest mètode pretén evadir les mesures de seguretat bancàries dissenyades per verificar la identitat dels usuaris i detectar patrons de transaccions inusuals mitjançant l'anàlisi del comportament.

Els investigadors creuen que ToxicPanda prové d'un actor d'amenaça que parla xinès. El programari maliciós té similituds notables amb TgToxic , un altre programari maliciós d'Android identificat a principis de 2023. TgToxic és capaç de robar credencials i fons de carteres de criptomoneda.

ToxicPanda s'adreça a un conjunt divers de països

La majoria de les infeccions s'han observat a Itàlia (56,8%), seguida de Portugal (18,7%), Hong Kong (4,6%), Espanya (3,9%) i Perú (3,4%). Aquest és un cas inusual en què un actor d'amenaces xinès s'ha dirigit als usuaris de banca minorista tant a Europa com a Llatinoamèrica.

Aquest troià bancari sembla estar en les seves primeres etapes, amb una anàlisi que el revela com una versió reduïda del seu predecessor. S'han eliminat funcions clau com el sistema de transferència automàtica (ATS), Easyclick i les rutines d'ofuscament, mentre que s'han afegit 33 ordres noves per extreure una gamma més àmplia de dades.

A més, es comparteixen 61 ordres entre TgToxic i ToxicPanda, cosa que suggereix que el mateix actor d'amenaça o col·laboradors propers probablement hi ha darrere d'aquesta família de programari maliciós. Tot i que ToxicPanda conserva algunes similituds de comandaments de bot amb la família TgToxic, el seu codi divergeix significativament. Falten diverses funcions típiques de TgToxic i algunes ordres semblen ser marcadors de posició sense cap funcionalitat real.

Com funciona el troià bancari ToxicPanda?

El programari maliciós es disfressa d'aplicacions conegudes com Google Chrome, Visa i 99 Speedmart, distribuïdes a través de llocs web falsos que imiten fitxes legítimes de la botiga d'aplicacions. Encara no està clar com es comparteixen aquests enllaços o si hi ha tècniques com la publicitat o smishing.

Un cop instal·lat mitjançant la càrrega lateral, ToxicPanda aprofita els serveis d'accessibilitat d'Android per obtenir permisos elevats, automatitzar les entrades dels usuaris i capturar dades d'altres aplicacions. Pot interceptar contrasenyes d'un sol ús (OTP) enviades mitjançant SMS o aplicacions d'autenticació, la qual cosa permet als atacants evitar l'autenticació de dos factors (2FA) i completar transaccions no autoritzades.

Més enllà de la recollida de dades, la funció principal del programari maliciós permet als atacants controlar el dispositiu compromès de manera remota i executar fraus en el dispositiu (ODF), facilitant transferències de diners no autoritzades sense que la víctima ho sàpiga.

Els investigadors informen que van accedir al panell de comandament i control (C2) de ToxicPanda. En aquesta interfície en xinès, els operadors poden veure una llista de dispositius infectats, inclosos els detalls del model i la ubicació, i fins i tot eliminar-los de la botnet. El panell també permet als operadors sol·licitar accés remot en temps real als dispositius per executar activitats ODF.

ToxicPanda pot estar en desenvolupament primerenc per part dels cibercriminals

ToxicPanda encara ha de mostrar capacitats més sofisticades o distintives que facin que la seva anàlisi sigui més difícil. Tanmateix, elements com les dades de registre, el codi no utilitzat i els fitxers de depuració indiquen que el programari maliciós podria estar en les primeres etapes de desenvolupament o estar sotmès a una refactorització important del codi, sobretot tenint en compte les seves similituds amb TGToxic.