Sandro Sana : 9 Novembre 2024 17:13
Nel panorama della sicurezza informatica, l’apparizione di nuovi malware bancari rappresenta una sfida crescente per istituzioni finanziarie, aziende e utenti. Recentemente, Cleafy Labs ha scoperto ToxicPanda, un trojan bancario Android originario dell’Asia, che ha raggiunto anche Europa e America Latina. Questo malware è progettato per sottrarre informazioni sensibili e compiere transazioni bancarie non autorizzate, rappresentando una grave minaccia per i dispositivi infetti.
ToxicPanda è un trojan bancario progettato per colpire dispositivi Android. La sua principale finalità è eseguire trasferimenti di denaro non autorizzati attraverso tecniche di Account Takeover (ATO) e On-Device Fraud (ODF). Queste metodologie consentono al malware di aggirare le misure di autenticazione e verifica dell’identità implementate dalle banche, sfruttando le vulnerabilità presenti nei dispositivi compromessi.
Il malware si diffonde principalmente tramite applicazioni fraudolente che gli utenti scaricano inconsapevolmente da fonti non ufficiali o attraverso tecniche di side-loading supportate da campagne di social engineering. Una volta installato, ToxicPanda abusa dei servizi di accessibilità di Android per ottenere permessi elevati, monitorare le attività dell’utente e intercettare dati sensibili.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo l’analisi di Cleafy, ToxicPanda è ancora in una fase iniziale di sviluppo, con alcune funzionalità non completamente implementate. Nonostante ciò, il malware presenta diverse capacità avanzate:
Dall’analisi del codice di ToxicPanda, emergono diverse caratteristiche avanzate che evidenziano la complessità del malware:
pkg
, clz
, text
e note
). Questi elementi vengono analizzati per raccogliere dati che potrebbero essere utili agli attaccanti, come le credenziali di login. Inoltre, il malware verifica la presenza di specifici elementi (“myself”) per adattarsi al contesto del dispositivo compromesso.deviceId
e toAdmin
, associati a ciascuna immagine. Le immagini sono convertite in base64 e trasmesse al server di controllo, rendendo più facile per gli attaccanti raccogliere prove visive di attività sensibili.restartSc
, screen_relay
, sendAlert
, e setCam
, che indicano la capacità del malware di scattare screenshot, riavviare servizi e attivare la fotocamera del dispositivo compromesso. Questi comandi vengono gestiti con un sistema a etichette (goto label_
), che facilita il controllo di azioni multiple e permette di adattare le operazioni in base alle necessità degli attaccanti.dksu.top
, mixcom.one
, freebasic.cn
), utilizzati probabilmente come server di comando e controllo per inviare e ricevere istruzioni. Questa scelta di domini suggerisce un’infrastruttura flessibile, che permette agli attaccanti di gestire più campagne o di passare facilmente da un server all’altro in caso di necessità.ToxicPanda è attualmente attivo in diversi paesi europei e latinoamericani, con oltre 1.500 dispositivi infetti. La sua capacità di intercettare dati sensibili, catturare immagini e comunicare con un server di controllo rende questo malware particolarmente pericoloso, soprattutto per i paesi con infrastrutture bancarie digitali avanzate come l’Italia.
Di fronte a minacce sofisticate come ToxicPanda, è essenziale adottare misure di sicurezza rigorose:
ToxicPanda rappresenta un altro esempio di come i malware bancari continuino ad evolversi per sfruttare vulnerabilità dei dispositivi Android. Gli utenti e le aziende devono rimanere vigili e adottare misure preventive per contrastare queste minacce. La protezione dei dati sensibili non è mai stata così critica, e il caso di ToxicPanda ne è un ulteriore promemoria.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006