Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

L’arrivo di ToxicPanda: Un nuovo trojan bancario dall’Asia minaccia l’Europa e l’America Latina

Sandro Sana : 9 Novembre 2024 17:13

Nel panorama della sicurezza informatica, l’apparizione di nuovi malware bancari rappresenta una sfida crescente per istituzioni finanziarie, aziende e utenti. Recentemente, Cleafy Labs ha scoperto ToxicPanda, un trojan bancario Android originario dell’Asia, che ha raggiunto anche Europa e America Latina. Questo malware è progettato per sottrarre informazioni sensibili e compiere transazioni bancarie non autorizzate, rappresentando una grave minaccia per i dispositivi infetti.

Cos’è ToxicPanda?

ToxicPanda è un trojan bancario progettato per colpire dispositivi Android. La sua principale finalità è eseguire trasferimenti di denaro non autorizzati attraverso tecniche di Account Takeover (ATO) e On-Device Fraud (ODF). Queste metodologie consentono al malware di aggirare le misure di autenticazione e verifica dell’identità implementate dalle banche, sfruttando le vulnerabilità presenti nei dispositivi compromessi.

Modalità di diffusione

Il malware si diffonde principalmente tramite applicazioni fraudolente che gli utenti scaricano inconsapevolmente da fonti non ufficiali o attraverso tecniche di side-loading supportate da campagne di social engineering. Una volta installato, ToxicPanda abusa dei servizi di accessibilità di Android per ottenere permessi elevati, monitorare le attività dell’utente e intercettare dati sensibili.

Caratteristiche tecniche

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Secondo l’analisi di Cleafy, ToxicPanda è ancora in una fase iniziale di sviluppo, con alcune funzionalità non completamente implementate. Nonostante ciò, il malware presenta diverse capacità avanzate:

    • Abuso dei servizi di accessibilità: ToxicPanda sfrutta questi servizi per ottenere permessi elevati, manipolare input dell’utente e catturare dati da altre applicazioni, rendendolo particolarmente efficace nel colpire app bancarie.
    • Capacità di controllo remoto: Il malware consente agli attaccanti di controllare da remoto il dispositivo infetto, permettendo l’esecuzione di transazioni e la modifica delle impostazioni dell’account senza che l’utente ne sia consapevole.
    • Intercettazione di OTP: ToxicPanda può intercettare password monouso inviate via SMS o generate da app di autenticazione, consentendo ai cybercriminali di bypassare l’autenticazione a due fattori e autorizzare transazioni fraudolente.
    • Tecniche di offuscamento: Il malware utilizza metodi di offuscamento per evitare il rilevamento, rendendo difficile l’analisi da parte dei ricercatori di sicurezza.

    Caratteristiche e Funzionalità Tecniche di ToxicPanda

    Dall’analisi del codice di ToxicPanda, emergono diverse caratteristiche avanzate che evidenziano la complessità del malware:

    1. Manipolazione delle Informazioni Utente
      Il codice mostra che ToxicPanda utilizza JSON per estrarre informazioni dettagliate sulle applicazioni e sui dati degli utenti (come pkg, clz, text e note). Questi elementi vengono analizzati per raccogliere dati che potrebbero essere utili agli attaccanti, come le credenziali di login. Inoltre, il malware verifica la presenza di specifici elementi (“myself”) per adattarsi al contesto del dispositivo compromesso.
    2. Intercettazione e Cattura di Immagini
      ToxicPanda implementa una funzionalità di raccolta immagini, che potrebbe essere utilizzata per accedere a screenshot o foto archiviate sul dispositivo. Il malware crea un oggetto JSON in cui aggiunge vari metadati, come deviceId e toAdmin, associati a ciascuna immagine. Le immagini sono convertite in base64 e trasmesse al server di controllo, rendendo più facile per gli attaccanti raccogliere prove visive di attività sensibili.
    3. Configurazione di Rete e Parametri di Log
      Il malware include parametri di configurazione per stabilire connessioni di rete con un server di comando e controllo. Porta e indirizzo DNS sono specificati nel codice, così come la modalità di log (impostata a “debug”). Questo setup permette agli operatori di ToxicPanda di monitorare l’attività del malware e apportare modifiche dinamiche al suo comportamento.
    4. Comandi di Controllo Remoto
      ToxicPanda può eseguire una varietà di comandi remoti, tra cui restartSc, screen_relay, sendAlert, e setCam, che indicano la capacità del malware di scattare screenshot, riavviare servizi e attivare la fotocamera del dispositivo compromesso. Questi comandi vengono gestiti con un sistema a etichette (goto label_), che facilita il controllo di azioni multiple e permette di adattare le operazioni in base alle necessità degli attaccanti.
    5. Comunicazione con Domini di Controllo
      Un’altra sezione del codice rivela che il malware comunica con vari domini (dksu.top, mixcom.one, freebasic.cn), utilizzati probabilmente come server di comando e controllo per inviare e ricevere istruzioni. Questa scelta di domini suggerisce un’infrastruttura flessibile, che permette agli attaccanti di gestire più campagne o di passare facilmente da un server all’altro in caso di necessità.

    Rischio e Diffusione del Malware

    ToxicPanda è attualmente attivo in diversi paesi europei e latinoamericani, con oltre 1.500 dispositivi infetti. La sua capacità di intercettare dati sensibili, catturare immagini e comunicare con un server di controllo rende questo malware particolarmente pericoloso, soprattutto per i paesi con infrastrutture bancarie digitali avanzate come l’Italia.

    Misure di Protezione

    Di fronte a minacce sofisticate come ToxicPanda, è essenziale adottare misure di sicurezza rigorose:

    1. Installare app solo da fonti affidabili come Google Play Store.
    2. Aggiornare regolarmente il dispositivo e le app per assicurarsi che tutte le vulnerabilità siano risolte.
    3. Utilizzare antivirus e firewall per monitorare l’attività sospetta.
    4. Prestare attenzione alle autorizzazioni richieste dalle app, in particolare quelle che coinvolgono accesso ai servizi di accessibilità, alla fotocamera o alla galleria.

    Conclusione

    ToxicPanda rappresenta un altro esempio di come i malware bancari continuino ad evolversi per sfruttare vulnerabilità dei dispositivi Android. Gli utenti e le aziende devono rimanere vigili e adottare misure preventive per contrastare queste minacce. La protezione dei dati sensibili non è mai stata così critica, e il caso di ToxicPanda ne è un ulteriore promemoria.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
    Visita il sito web dell'autore

    Articoli in evidenza

    DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

    Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

    X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

    Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

    Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

    Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...

    Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

    Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

    Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

    La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...