Malware mobile ToxicPanda
Un nuovo ceppo del malware bancario Android, denominato ToxicPanda, ha infettato oltre 1.500 dispositivi Android, consentendo ai criminali informatici di effettuare transazioni bancarie fraudolente. L'obiettivo principale di ToxicPanda è avviare trasferimenti di denaro non autorizzati da dispositivi compromessi tramite account takeover (ATO) utilizzando una tecnica nota come frode sul dispositivo (ODF). Questo metodo cerca di eludere le misure di sicurezza bancarie progettate per verificare l'identità degli utenti e rilevare modelli di transazione insoliti tramite analisi comportamentale.
I ricercatori ritengono che ToxicPanda abbia origine da un threat actor di lingua cinese. Il malware presenta notevoli somiglianze con TgToxic , un altro malware Android identificato all'inizio del 2023. TgToxic è in grado di rubare credenziali e fondi dai wallet di criptovaluta.
Sommario
ToxicPanda prende di mira un insieme eterogeneo di paesi
La maggior parte delle infezioni è stata osservata in Italia (56,8%), seguita da Portogallo (18,7%), Hong Kong (4,6%), Spagna (3,9%) e Perù (3,4%). Si tratta di un caso insolito in cui un attore cinese della minaccia ha preso di mira gli utenti di servizi bancari al dettaglio sia in Europa che in America Latina.
Questo trojan bancario sembra essere nelle sue fasi iniziali, con analisi che lo rivelano come una versione ridotta del suo predecessore. Funzionalità chiave come Automatic Transfer System (ATS), Easyclick e routine di offuscamento sono state rimosse, mentre sono stati aggiunti 33 nuovi comandi per estrarre una gamma più ampia di dati.
Inoltre, 61 comandi sono condivisi tra TgToxic e ToxicPanda, il che suggerisce che dietro questa famiglia di malware ci sia probabilmente lo stesso autore della minaccia o stretti collaboratori. Sebbene ToxicPanda mantenga alcune somiglianze nei comandi bot con la famiglia TgToxic, il suo codice diverge in modo significativo. Mancano diverse funzioni tipiche di TgToxic e alcuni comandi sembrano essere segnaposto senza alcuna funzionalità effettiva.
Come funziona il trojan bancario ToxicPanda?
Il malware si camuffa da applicazioni note come Google Chrome, Visa e 99 Speedmart, distribuite tramite falsi siti Web che imitano elenchi legittimi di app store. Non è ancora chiaro come questi link vengano condivisi o se siano coinvolte tecniche come malvertising o smishing.
Una volta installato tramite sideloading, ToxicPanda sfrutta i servizi di accessibilità di Android per ottenere permessi elevati, automatizzare gli input degli utenti e catturare dati da altre applicazioni. Può intercettare password monouso (OTP) inviate tramite SMS o app di autenticazione, consentendo agli aggressori di aggirare l'autenticazione a due fattori (2FA) e completare transazioni non autorizzate.
Oltre alla raccolta di dati, la funzione principale del malware consente agli aggressori di controllare da remoto il dispositivo compromesso ed eseguire frodi sul dispositivo (ODF), facilitando trasferimenti di denaro non autorizzati senza che la vittima se ne accorga.
I ricercatori riferiscono di aver avuto accesso al pannello Command-and-Control (C2) di ToxicPanda. In questa interfaccia in lingua cinese, gli operatori possono visualizzare un elenco di dispositivi infetti, inclusi dettagli su modello e posizione, e persino rimuoverli dalla botnet. Il pannello consente inoltre agli operatori di richiedere l'accesso remoto in tempo reale ai dispositivi per eseguire attività ODF.
ToxicPanda potrebbe essere in fase di sviluppo iniziale da parte dei criminali informatici
ToxicPanda deve ancora mostrare capacità più sofisticate o distintive che renderebbero la sua analisi più impegnativa. Tuttavia, elementi come i dati di registrazione, il codice inutilizzato e i file di debug indicano che il malware potrebbe essere nelle prime fasi di sviluppo o sottoposto a un significativo refactoring del codice, soprattutto considerando le sue somiglianze con TGToxic.
