Un nuovo trojan bancario per Android, denominato ToxicPanda, ha recentemente fatto la sua comparsa in Europa e America Latina. Questo malware, originario dell’Asia, rappresenta una minaccia significativa per gli utenti di dispositivi mobili, in particolare quelli che utilizzano servizi bancari online.
Obiettivo del malware
ToxicPanda è progettato per eseguire trasferimenti di denaro fraudolenti prendendo il controllo degli account sui dispositivi compromessi. Utilizza una tecnica nota come On-Device Fraud (ODF), che consente agli attaccanti di manipolare le transazioni direttamente dal dispositivo infetto. I malintenzionati prendono di mira i dispositivi stessi per ottenere un accesso non autorizzato, rubare dati personali o eseguire transazioni fraudolente.
“L’obiettivo principale di ToxicPanda è avviare trasferimenti di denaro da dispositivi compromessi tramite account takeover (ATO) utilizzando una tecnica ben nota chiamata On-Device fraud (ODF).” , spiegano i ricercatori Cleafy e continuano, “Mira a bypassare le contromisure bancarie utilizzate per imporre la verifica e l’autenticazione dell’identità degli utenti, combinate con tecniche di rilevamento comportamentale applicate dalle banche per identificare trasferimenti di denaro sospetti.”.
Diffusione e impatto
Il malware ha già infettato oltre 1.500 dispositivi in paesi come Italia con oltre il 50% dei dispositivi infetti, Portogallo, Spagna e diverse nazioni dell’America Latina. Ha preso di mira 16 istituzioni bancarie, causando preoccupazioni significative tra gli utenti e le autorità di sicurezza informatica.
Il malware, distribuito tramite pagine web contraffatte e propinate probabilmente via smishing, si maschera da app popolari come Google Chrome e Visa.
Caratteristiche principali
Una volta installato, ToxicPanda abuserebbe dei servizi di accessibilità di Android per ottenere permessi elevati e manipolare dati. Può anche intercettare password monouso (OTP) per consentire di aggirare le protezioni 2FA e completare transazioni fraudolente e controllare da remoto il dispositivo compromesso all’insaputa della vittima.
Cleafy ha affermato anche di essere riuscita ad accedere al pannello di comando e controllo di ToxicPanda, che si presenterebbe con un’interfaccia scritta in cinese che consente agli operatori di visualizzare l’elenco dei dispositivi delle vittime, comprese le informazioni sul modello e la posizione e richiedere l’accesso remoto in tempo reale ai dispositivi per mettere in atto l’ODF.
Probabile matrice cinese
Sebbene ToxicPanda condivida alcune somiglianze con il trojan TgToxic, presenterebbe differenze significative nel codice, suggerendo che si tratta di una variante distinta. Secondo Cleafy gli attori dietro questo malware sarebbero probabilmente di lingua cinese, un fatto insolito per le operazioni di frode bancaria che colpiscono l’Europa e l’America Latina. Questo potrebbe indicare un cambiamento nell’orientamento operativo di questi gruppi criminali.
Cautela e controllo
La comparsa di ToxicPanda sottolinea l’importanza di mantenere aggiornati i dispositivi mobili e di adottare misure di sicurezza adeguate per proteggere le informazioni personali e finanziarie. Gli utenti dovrebbero essere particolarmente cauti nell’installare applicazioni da fonti non verificate e monitorare attentamente le attività sui propri account bancari.