Il panorama della sicurezza mobile è stato recentemente scosso dalla scoperta di un nuovo malware bancario per Android chiamato ToxicPanda. Questo malware ha già infettato oltre 1.500 dispositivi Android, permettendo agli attori malevoli di eseguire transazioni bancarie fraudolente. ToxicPanda mira principalmente a effettuare trasferimenti di denaro da dispositivi compromessi tramite il takeover dell'account, utilizzando una tecnica nota come frode sul dispositivo. Questa minaccia cerca di aggirare le misure di sicurezza delle banche, progettate per verificare l'identità degli utenti e rilevare transazioni sospette.

Origini e Diffusione

Gli analisti hanno evidenziato che ToxicPanda sembra essere opera di un attore di minacce di lingua cinese e condivide somiglianze con un altro malware Android, TgToxic, noto per il furto di credenziali e fondi da portafogli di criptovalute. La diffusione di ToxicPanda è stata particolarmente significativa in Italia, con il 56,8% delle infezioni, seguita da Portogallo, Hong Kong, Spagna e Perù. Questo rappresenta un raro caso di un attore di minaccia cinese che prende di mira utenti bancari al dettaglio in Europa e America Latina.

Caratteristiche Tecniche

Il trojan bancario è ancora nelle sue fasi iniziali di sviluppo. L'analisi ha rivelato che è una versione semplificata del suo predecessore, eliminando routine di trasferimento automatico e introducendo nuovi comandi per raccogliere una vasta gamma di dati. ToxicPanda si maschera da app popolari come Google Chrome e Visa, distribuendosi tramite pagine false che imitano i negozi di app ufficiali. La modalità di propagazione di questi link rimane sconosciuta, ma potrebbe coinvolgere tecniche di malvertising o smishing.

Metodi di Attacco

Una volta installato, il malware sfrutta i servizi di accessibilità di Android per ottenere permessi elevati, manipolare input utente e intercettare dati da altre app. È in grado di intercettare password monouso inviate via SMS o generate da app di autenticazione, permettendo così agli attori malevoli di aggirare le protezioni di autenticazione a due fattori e completare transazioni fraudolente. Oltre alla raccolta di informazioni, il malware consente agli attaccanti di controllare da remoto il dispositivo compromesso per avviare trasferimenti di denaro non autorizzati senza che la vittima se ne accorga.

Pannello di Controllo

Gli esperti hanno avuto accesso al pannello di comando e controllo di ToxicPanda, un'interfaccia grafica in cinese che permette agli operatori di visualizzare l'elenco dei dispositivi vittima, incluse le informazioni sul modello e la posizione, e di rimuoverli dalla botnet. Questo pannello funge anche da tramite per richiedere accesso remoto in tempo reale ai dispositivi per condurre operazioni di frode sul dispositivo.