Gli esperti di Cleafy hanno identificato un nuovo trojan bancario per dispositivi Android, soprannominato ToxicPanda, che sta colpendo diversi paesi, tra cui l’Italia, il Portogallo e la Spagna, oltre a regioni in America Latina. Inizialmente associato al trojan TgToxic, diffuso nel Sud-est asiatico, ToxicPanda è stato poi classificato come una nuova minaccia per via di differenze sostanziali nel codice.
ToxicPanda è un sofisticato RAT (Remote Access Trojan) per dispositivi mobili. L’obiettivo principale è avviare trasferimenti di denaro da dispositivi infetti tramite account takeover (ATO) utilizzando una tecnica conosciuta come On-Device Fraud (ODF), che permette agli aggressori di prendere il controllo diretto degli account bancari delle vittime. Questa tecnica adottata da ToxicPanda, già utilizzata da altri trojan bancari come Medusa, Copybara e BingoMod, offre vantaggi agli aggressori: richiede competenze tecniche limitate, permette di colpire un ampio numero di clienti bancari e consente di eludere le contromisure di rilevamento comportamentale e le verifiche dell’identità implementate dalle banche e dai servizi finanziari.
L’Italia tra i paesi più colpiti
La diffusione del malware ha raggiunto circa 1500 dispositivi compromessi, con l’Italia come principale focolaio (oltre il 50% delle infezioni), seguita da Portogallo, Spagna e paesi sudamericani come il Perù. La scelta geografica degli obiettivi suggerisce un’espansione del raggio d’azione degli autori del malware, che si ritiene siano di lingua cinese, una provenienza insolita per attacchi diretti all’Europa e all’America Latina.
Caratteristiche principali
Le caratteristiche principali di ToxicPanda includono:
- Abuso dei servizi di accessibilità di Android: consente al malware di ottenere autorizzazioni elevate, manipolare gli input degli utenti e acquisire dati sensibili da altre app, il che lo rende particolarmente efficace nel prendere di mira le applicazioni bancarie.
- Capacità di controllo remoto: consente il controllo remoto del dispositivo infetto, permettendo agli aggressori di eseguire varie azioni, tra cui l’avvio di transazioni e la modifica delle impostazioni dell’account senza che l’utente ne sia a conoscenza.
- Intercettazione di password monouso (OTP): il trojan è in grado di intercettare le OTP inviate tramite SMS o generate dalle app di autenticazione, eludendo così la protezione 2FA e autorizzare transazioni fraudolente.
- Tecniche di offuscamento avanzate: per evitare il rilevamento da parte dei sistemi di sicurezza, ToxicPanda evolve continuamente i suoi metodi di offuscamento.
- Accesso a immagini e album del telefono: raccoglie informazioni potenzialmente sensibili, come screenshot con credenziali, convertendole in BASE64 e inviandole ai server di comando e controllo (C2).
Secondo i ricercatori, molti comandi di ToxicPanda sono segnaposto, suggerendo che il trojan sia ancora in fase di sviluppo. Tuttavia, è già operativo e presenta un’infrastruttura di botnet che permette agli attaccanti di gestire dispositivi infetti e condurre frodi bancarie mirate. Cleafy ha inoltre identificato alcuni dei domini hard-coded utilizzati dal malware per comunicare con il server C2, evidenziando come questa tecnica statica sia insolita nei malware più avanzati.
ToxicPanda rappresenta una minaccia emergente per le istituzioni finanziarie europee e latinoamericane, con una rete di dispositivi infetti in crescita. Nonostante sia un malware tecnicamente semplice, la sua capacità di eludere i rilevamenti suggerisce la necessità di sistemi di sicurezza più proattivi e in tempo reale, che possano identificare tempestivamente nuove minacce prima che si diffondano su larga scala.
https://www.cleafy.com/cleafy-labs/toxicpanda-a-new-banking-trojan-from-asia-hit-europe-and-latam
