Il malware ToxicPanda colpisce le banche in tutta Europa e America Latina

Nell’ottobre 2024, il team di Threat Intelligence di Cleafy ha scoperto una nuova campagna di trojan bancari Android, inizialmente collegata alla nota famiglia di malware TgToxic. Tuttavia, dopo ulteriori indagini, è diventato chiaro che questo nuovo malware era diverso, portando gli esperti a seguirlo sotto il nome di ToxicPanda.

Nel loro rapporto recente, gli analisti spiegano che ToxicPanda è progettato per rubare denaro dai dispositivi compromessi eludendo le misure di sicurezza bancarie.

Il malware utilizza una tecnica chiamata On-Device Fraud (ODF), che permette agli aggressori di prendere il controllo del conto bancario di una vittima senza che questa ne sia a conoscenza. Può eludere i sistemi di verifica dell’identità e di rilevamento comportamentale che le banche utilizzano per segnalare attività sospette.

I ricercatori spiegano che ToxicPanda funziona sfruttando i servizi di accessibilità di Android. Questo gli permette di prendere il controllo del dispositivo di una vittima, intercettare password monouso (OTP) e effettuare transazioni bancarie fraudolente. Può anche nascondere la sua presenza sul telefono, rendendo più difficile per il software antivirus rilevarlo.

Tuttavia, il rapporto evidenzia che il malware è ancora in una fase iniziale di sviluppo. Alcune parti del suo codice sono incomplete, con comandi che non fanno ancora nulla.

Nonostante ciò, ToxicPanda è già riuscito a infettare oltre 1.500 dispositivi Android in Italia, Portogallo, Spagna e America Latina. Questi dispositivi infettati vengono utilizzati in attacchi contro 16 diverse istituzioni bancarie.

Si sospetta che gli attori della minaccia (TAs) dietro a ToxicPanda siano di lingua cinese, segnando un cambio nelle regioni che prendono di mira.

È raro che i cybercriminali di lingua cinese si concentrino sulle frodi bancarie in Europa e America Latina. I ricercatori suggeriscono che ciò potrebbe indicare un possibile cambiamento nel loro focus operativo.

Sebbene ToxicPanda non sia avanzato quanto alcuni altri trojan bancari, condivide similitudini con malware precedenti come TgToxic.

Il rapporto suggerisce che gli sviluppatori del malware sembrano essere nuovi nel mirare a istituzioni finanziarie al di fuori delle loro regioni di origine, il che potrebbe spiegare il suo codice piuttosto basilare e le funzionalità limitate.

La diffusione di ToxicPanda è stata significativa, con l’Italia che ha visto il numero più alto di infezioni, seguita da paesi come Portogallo, Spagna e Perù. Questa vasta portata geografica indica che i creatori del malware stanno ampliando i loro obiettivi per includere più paesi, in particolare in America Latina.

In conclusione, ToxicPanda è una minaccia in crescita che evidenzia l’aumento della sofisticazione delle frodi bancarie mobili. Sebbene il malware sia ancora in fase di sviluppo, la sua rapida diffusione in diverse regioni mostra che i cybercriminali stanno diventando più concentrati nello sfruttare i sistemi bancari in tutto il mondo.