ToxicPanda: malware bancario che prende di mira l’Italia e si espande in Europa

Un nuovo malware, soprannominato "ToxicPanda", sta colpendo i dispositivi Android in Europa e America Latina, con l’Italia come principale focolaio di infezioni. Questa minaccia, identificata dal team di ricerca di Cleafy, rappresenta un rischio crescente per la sicurezza bancaria.

Gli sviluppatori, cybercriminali di lingua cinese, hanno progettato ToxicPanda per aggirare i sistemi di sicurezza bancari e sottrarre denaro dai conti degli utenti.

ToxicPanda appartiene alla moderna generazione RAT (Remote Access Trojan) di malware mobile , poiché le sue capacità consentono ai Threat Actor (TA) di condurre Account Takeover (ATO) direttamente dal dispositivo infetto, sfruttando così la tecnica On Device Fraud (ODF). Questo consolidamento di questa tecnica, secondo il team di ricerca, è già stato visto da altri trojan bancari, come Medusa , Copybara e, di recente, BingoMod .

Questa distribuzione geografica sottolinea la portata significativa e l'adattabilità del botnet ToxicPanda. Sfruttando queste informazioni, comprendiamo meglio l'attenzione operativa della botnet e possiamo elaborare strategie di difesa specifiche per regione in modo più efficace. La visibilità sui modelli di infezione regionali aiuta anche le istituzioni finanziarie e le autorità locali nelle aree più colpite a dare priorità agli sforzi di mitigazione e a rafforzare di conseguenza le loro misure antifrode.

ToxicPanda è dotato di capacità tecniche avanzate che lo rendono particolarmente insidioso per gli istituti finanziari. Tra queste figurano:

• Abuso dei Servizi di Accessibilità: Sfruttando i servizi di accessibilità di Android, il malware ottiene permessi elevati che gli permettono di manipolare input dell’utente e accedere ai dati di altre applicazioni, rendendosi particolarmente efficace contro le app bancarie.
• Controllo Remoto Completo: ToxicPanda consente agli hacker di prendere il controllo completo dei dispositivi infetti, eseguendo operazioni bancarie fraudolente, modificando impostazioni e trasferendo denaro senza che l’utente ne sia consapevole. Questa capacità facilita attacchi noti come On-Device Fraud (ODF), tra i più pericolosi nel panorama delle frodi finanziarie.
• Intercettazione delle OTP (One-Time Password): Il malware è in grado di intercettare le OTP inviate via SMS o generate da app di autenticazione, bypassando così l’autenticazione a due fattori (2FA) e autorizzando transazioni fraudolente.
• Tecniche di Offuscamento del Codice: ToxicPanda evolve costantemente le proprie tecniche di offuscamento, utilizzando metodi avanzati per nascondere il codice, eludendo il rilevamento da parte delle soluzioni di sicurezza e rendendo difficile l’analisi da parte dei ricercatori.

Nonostante la pericolosità attuale, ToxicPanda mostra segni di codice in via di rifattorizzazione, tra cui log di debug e codice inattivo. Questi elementi, insieme ad alcune somiglianze con il malware TGToxic, suggeriscono che ToxicPanda sia in fase di crescita e miglioramento, rendendolo una minaccia con potenziale di sviluppo e pericolosità in aumento.

ToxicPanda si sovrappone in modo significativo ai nomi dei comandi utilizzati nella famiglia di malware TgToxic. La nostra analisi ha identificato 61 comandi comuni a entrambi, con nomi altamente distintivi che suggeriscono che la loro presenza in entrambi i malware difficilmente sia una coincidenza. Questa sovrapposizione indica che lo stesso TA (o affiliati chiusi) potrebbe essere dietro entrambi i malware.