ToxicPanda: malware bancario che prende di mira l’Italia e si espande in Europa

3 weeks ago 65

Un nuovo malware, soprannominato "ToxicPanda", sta colpendo i dispositivi Android in Europa e America Latina, con l’Italia come principale focolaio di infezioni. Questa minaccia, identificata dal team di ricerca di Cleafy, rappresenta un rischio crescente per la sicurezza bancaria.

Gli sviluppatori, cybercriminali di lingua cinese, hanno progettato ToxicPanda per aggirare i sistemi di sicurezza bancari e sottrarre denaro dai conti degli utenti.

ToxicPanda appartiene alla moderna generazione RAT (Remote Access Trojan) di malware mobile , poiché le sue capacità consentono ai Threat Actor (TA) di condurre Account Takeover (ATO) direttamente dal dispositivo infetto, sfruttando così la tecnica On Device Fraud (ODF). Questo consolidamento di questa tecnica, secondo il team di ricerca, è già stato visto da altri trojan bancari, come Medusa , Copybara e, di recente, BingoMod .

L'ITALIA IL PAESE PIU' COLPITO

ToxicPanda ha già infettato oltre 1.500 dispositivi, prevalentemente in Italia, che da sola rappresenta il 56,8% delle infezioni totali. Il Portogallo segue con il 18,7%, mentre Hong Kong registra il 4,6% delle infezioni, forse utilizzato come terreno di prova o nuovo mercato d’interesse in Asia. Anche Spagna e Perù, con quote rispettivamente del 3,9% e del 3,4%, indicano che gli autori di ToxicPanda stanno progressivamente espandendo il raggio d’azione del malware, puntando verso mercati in America Latina e nuove regioni europee.


Questa distribuzione geografica sottolinea la portata significativa e l'adattabilità del botnet ToxicPanda. Sfruttando queste informazioni, comprendiamo meglio l'attenzione operativa della botnet e possiamo elaborare strategie di difesa specifiche per regione in modo più efficace. La visibilità sui modelli di infezione regionali aiuta anche le istituzioni finanziarie e le autorità locali nelle aree più colpite a dare priorità agli sforzi di mitigazione e a rafforzare di conseguenza le loro misure antifrode.

TOXICPANDA: GLI STRUMENTI DI ATTACCO

ToxicPanda è dotato di capacità tecniche avanzate che lo rendono particolarmente insidioso per gli istituti finanziari. Tra queste figurano:

  • Abuso dei Servizi di Accessibilità: Sfruttando i servizi di accessibilità di Android, il malware ottiene permessi elevati che gli permettono di manipolare input dell’utente e accedere ai dati di altre applicazioni, rendendosi particolarmente efficace contro le app bancarie.
  • Controllo Remoto Completo: ToxicPanda consente agli hacker di prendere il controllo completo dei dispositivi infetti, eseguendo operazioni bancarie fraudolente, modificando impostazioni e trasferendo denaro senza che l’utente ne sia consapevole. Questa capacità facilita attacchi noti come On-Device Fraud (ODF), tra i più pericolosi nel panorama delle frodi finanziarie.
  • Intercettazione delle OTP (One-Time Password): Il malware è in grado di intercettare le OTP inviate via SMS o generate da app di autenticazione, bypassando così l’autenticazione a due fattori (2FA) e autorizzando transazioni fraudolente.
  • Tecniche di Offuscamento del Codice: ToxicPanda evolve costantemente le proprie tecniche di offuscamento, utilizzando metodi avanzati per nascondere il codice, eludendo il rilevamento da parte delle soluzioni di sicurezza e rendendo difficile l’analisi da parte dei ricercatori.

UN MALWARE IN EVOLUZIONE

Nonostante la pericolosità attuale, ToxicPanda mostra segni di codice in via di rifattorizzazione, tra cui log di debug e codice inattivo. Questi elementi, insieme ad alcune somiglianze con il malware TGToxic, suggeriscono che ToxicPanda sia in fase di crescita e miglioramento, rendendolo una minaccia con potenziale di sviluppo e pericolosità in aumento.

ToxicPanda si sovrappone in modo significativo ai nomi dei comandi utilizzati nella famiglia di malware TgToxic. La nostra analisi ha identificato 61 comandi comuni a entrambi, con nomi altamente distintivi che suggeriscono che la loro presenza in entrambi i malware difficilmente sia una coincidenza. Questa sovrapposizione indica che lo stesso TA (o affiliati chiusi) potrebbe essere dietro entrambi i malware.

ToxicPanda ha dimostrato di aggirare facilmente le soluzioni di sicurezza esistenti, sollevando interrogativi sull’efficacia delle protezioni antivirus attuali. Molte di queste soluzioni si basano su rilevazioni isolate, senza un sistema di monitoraggio continuativo e proattivo. Cleafy evidenzia la necessità di un sistema di “Early Warning”, che consenta di rilevare tempestivamente le minacce emergenti, bloccandole prima che si diffondano su larga scala.


Read Entire Article