Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’arrivo di ToxicPanda: Un nuovo trojan bancario dall’Asia minaccia l’Europa e l’America Latina

Sandro Sana : 9 Novembre 2024 17:13

Nel panorama della sicurezza informatica, l’apparizione di nuovi malware bancari rappresenta una sfida crescente per istituzioni finanziarie, aziende e utenti. Recentemente, Cleafy Labs ha scoperto ToxicPanda, un trojan bancario Android originario dell’Asia, che ha raggiunto anche Europa e America Latina. Questo malware è progettato per sottrarre informazioni sensibili e compiere transazioni bancarie non autorizzate, rappresentando una grave minaccia per i dispositivi infetti.

Indice dei contenuti nascondi
1. Cos’è ToxicPanda?
2. Modalità di diffusione
3. Caratteristiche tecniche
4. Caratteristiche e Funzionalità Tecniche di ToxicPanda
5. Rischio e Diffusione del Malware
6. Misure di Protezione
7. Conclusione

Cos’è ToxicPanda?

ToxicPanda è un trojan bancario progettato per colpire dispositivi Android. La sua principale finalità è eseguire trasferimenti di denaro non autorizzati attraverso tecniche di Account Takeover (ATO) e On-Device Fraud (ODF). Queste metodologie consentono al malware di aggirare le misure di autenticazione e verifica dell’identità implementate dalle banche, sfruttando le vulnerabilità presenti nei dispositivi compromessi.

Modalità di diffusione

Il malware si diffonde principalmente tramite applicazioni fraudolente che gli utenti scaricano inconsapevolmente da fonti non ufficiali o attraverso tecniche di side-loading supportate da campagne di social engineering. Una volta installato, ToxicPanda abusa dei servizi di accessibilità di Android per ottenere permessi elevati, monitorare le attività dell’utente e intercettare dati sensibili.

Caratteristiche tecniche

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Secondo l’analisi di Cleafy, ToxicPanda è ancora in una fase iniziale di sviluppo, con alcune funzionalità non completamente implementate. Nonostante ciò, il malware presenta diverse capacità avanzate:

  • Abuso dei servizi di accessibilità: ToxicPanda sfrutta questi servizi per ottenere permessi elevati, manipolare input dell’utente e catturare dati da altre applicazioni, rendendolo particolarmente efficace nel colpire app bancarie.
  • Capacità di controllo remoto: Il malware consente agli attaccanti di controllare da remoto il dispositivo infetto, permettendo l’esecuzione di transazioni e la modifica delle impostazioni dell’account senza che l’utente ne sia consapevole.
  • Intercettazione di OTP: ToxicPanda può intercettare password monouso inviate via SMS o generate da app di autenticazione, consentendo ai cybercriminali di bypassare l’autenticazione a due fattori e autorizzare transazioni fraudolente.
  • Tecniche di offuscamento: Il malware utilizza metodi di offuscamento per evitare il rilevamento, rendendo difficile l’analisi da parte dei ricercatori di sicurezza.

Caratteristiche e Funzionalità Tecniche di ToxicPanda

Dall’analisi del codice di ToxicPanda, emergono diverse caratteristiche avanzate che evidenziano la complessità del malware:

  1. Manipolazione delle Informazioni Utente
    Il codice mostra che ToxicPanda utilizza JSON per estrarre informazioni dettagliate sulle applicazioni e sui dati degli utenti (come pkg, clz, text e note). Questi elementi vengono analizzati per raccogliere dati che potrebbero essere utili agli attaccanti, come le credenziali di login. Inoltre, il malware verifica la presenza di specifici elementi (“myself”) per adattarsi al contesto del dispositivo compromesso.
  2. Intercettazione e Cattura di Immagini
    ToxicPanda implementa una funzionalità di raccolta immagini, che potrebbe essere utilizzata per accedere a screenshot o foto archiviate sul dispositivo. Il malware crea un oggetto JSON in cui aggiunge vari metadati, come deviceId e toAdmin, associati a ciascuna immagine. Le immagini sono convertite in base64 e trasmesse al server di controllo, rendendo più facile per gli attaccanti raccogliere prove visive di attività sensibili.
  3. Configurazione di Rete e Parametri di Log
    Il malware include parametri di configurazione per stabilire connessioni di rete con un server di comando e controllo. Porta e indirizzo DNS sono specificati nel codice, così come la modalità di log (impostata a “debug”). Questo setup permette agli operatori di ToxicPanda di monitorare l’attività del malware e apportare modifiche dinamiche al suo comportamento.
  4. Comandi di Controllo Remoto
    ToxicPanda può eseguire una varietà di comandi remoti, tra cui restartSc, screen_relay, sendAlert, e setCam, che indicano la capacità del malware di scattare screenshot, riavviare servizi e attivare la fotocamera del dispositivo compromesso. Questi comandi vengono gestiti con un sistema a etichette (goto label_), che facilita il controllo di azioni multiple e permette di adattare le operazioni in base alle necessità degli attaccanti.
  5. Comunicazione con Domini di Controllo
    Un’altra sezione del codice rivela che il malware comunica con vari domini (dksu.top, mixcom.one, freebasic.cn), utilizzati probabilmente come server di comando e controllo per inviare e ricevere istruzioni. Questa scelta di domini suggerisce un’infrastruttura flessibile, che permette agli attaccanti di gestire più campagne o di passare facilmente da un server all’altro in caso di necessità.

Rischio e Diffusione del Malware

ToxicPanda è attualmente attivo in diversi paesi europei e latinoamericani, con oltre 1.500 dispositivi infetti. La sua capacità di intercettare dati sensibili, catturare immagini e comunicare con un server di controllo rende questo malware particolarmente pericoloso, soprattutto per i paesi con infrastrutture bancarie digitali avanzate come l’Italia.

Misure di Protezione

Di fronte a minacce sofisticate come ToxicPanda, è essenziale adottare misure di sicurezza rigorose:

  1. Installare app solo da fonti affidabili come Google Play Store.
  2. Aggiornare regolarmente il dispositivo e le app per assicurarsi che tutte le vulnerabilità siano risolte.
  3. Utilizzare antivirus e firewall per monitorare l’attività sospetta.
  4. Prestare attenzione alle autorizzazioni richieste dalle app, in particolare quelle che coinvolgono accesso ai servizi di accessibilità, alla fotocamera o alla galleria.

Conclusione

ToxicPanda rappresenta un altro esempio di come i malware bancari continuino ad evolversi per sfruttare vulnerabilità dei dispositivi Android. Gli utenti e le aziende devono rimanere vigili e adottare misure preventive per contrastare queste minacce. La protezione dei dati sensibili non è mai stata così critica, e il caso di ToxicPanda ne è un ulteriore promemoria.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

20 Milioni di euro persi da IKEA per un attacco Ransomware

Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006