L’arrivo di ToxicPanda: Un nuovo trojan bancario dall’Asia minaccia l’Europa e l’America Latina

Sandro Sana : 9 Novembre 2024 17:13

Nel panorama della sicurezza informatica, l’apparizione di nuovi malware bancari rappresenta una sfida crescente per istituzioni finanziarie, aziende e utenti. Recentemente, Cleafy Labs ha scoperto ToxicPanda, un trojan bancario Android originario dell’Asia, che ha raggiunto anche Europa e America Latina. Questo malware è progettato per sottrarre informazioni sensibili e compiere transazioni bancarie non autorizzate, rappresentando una grave minaccia per i dispositivi infetti.

Cos’è ToxicPanda?

ToxicPanda è un trojan bancario progettato per colpire dispositivi Android. La sua principale finalità è eseguire trasferimenti di denaro non autorizzati attraverso tecniche di Account Takeover (ATO) e On-Device Fraud (ODF). Queste metodologie consentono al malware di aggirare le misure di autenticazione e verifica dell’identità implementate dalle banche, sfruttando le vulnerabilità presenti nei dispositivi compromessi.

Modalità di diffusione

Il malware si diffonde principalmente tramite applicazioni fraudolente che gli utenti scaricano inconsapevolmente da fonti non ufficiali o attraverso tecniche di side-loading supportate da campagne di social engineering. Una volta installato, ToxicPanda abusa dei servizi di accessibilità di Android per ottenere permessi elevati, monitorare le attività dell’utente e intercettare dati sensibili.

Caratteristiche tecniche

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo l’analisi di Cleafy, ToxicPanda è ancora in una fase iniziale di sviluppo, con alcune funzionalità non completamente implementate. Nonostante ciò, il malware presenta diverse capacità avanzate:

• Abuso dei servizi di accessibilità: ToxicPanda sfrutta questi servizi per ottenere permessi elevati, manipolare input dell’utente e catturare dati da altre applicazioni, rendendolo particolarmente efficace nel colpire app bancarie.
• Capacità di controllo remoto: Il malware consente agli attaccanti di controllare da remoto il dispositivo infetto, permettendo l’esecuzione di transazioni e la modifica delle impostazioni dell’account senza che l’utente ne sia consapevole.
• Intercettazione di OTP: ToxicPanda può intercettare password monouso inviate via SMS o generate da app di autenticazione, consentendo ai cybercriminali di bypassare l’autenticazione a due fattori e autorizzare transazioni fraudolente.
• Tecniche di offuscamento: Il malware utilizza metodi di offuscamento per evitare il rilevamento, rendendo difficile l’analisi da parte dei ricercatori di sicurezza.

Caratteristiche e Funzionalità Tecniche di ToxicPanda

Dall’analisi del codice di ToxicPanda, emergono diverse caratteristiche avanzate che evidenziano la complessità del malware:

1. Manipolazione delle Informazioni Utente
   Il codice mostra che ToxicPanda utilizza JSON per estrarre informazioni dettagliate sulle applicazioni e sui dati degli utenti (come pkg, clz, text e note). Questi elementi vengono analizzati per raccogliere dati che potrebbero essere utili agli attaccanti, come le credenziali di login. Inoltre, il malware verifica la presenza di specifici elementi (“myself”) per adattarsi al contesto del dispositivo compromesso.
2. Intercettazione e Cattura di Immagini
   ToxicPanda implementa una funzionalità di raccolta immagini, che potrebbe essere utilizzata per accedere a screenshot o foto archiviate sul dispositivo. Il malware crea un oggetto JSON in cui aggiunge vari metadati, come deviceId e toAdmin, associati a ciascuna immagine. Le immagini sono convertite in base64 e trasmesse al server di controllo, rendendo più facile per gli attaccanti raccogliere prove visive di attività sensibili.
3. Configurazione di Rete e Parametri di Log
   Il malware include parametri di configurazione per stabilire connessioni di rete con un server di comando e controllo. Porta e indirizzo DNS sono specificati nel codice, così come la modalità di log (impostata a “debug”). Questo setup permette agli operatori di ToxicPanda di monitorare l’attività del malware e apportare modifiche dinamiche al suo comportamento.
4. Comandi di Controllo Remoto
   ToxicPanda può eseguire una varietà di comandi remoti, tra cui restartSc, screen_relay, sendAlert, e setCam, che indicano la capacità del malware di scattare screenshot, riavviare servizi e attivare la fotocamera del dispositivo compromesso. Questi comandi vengono gestiti con un sistema a etichette (goto label_), che facilita il controllo di azioni multiple e permette di adattare le operazioni in base alle necessità degli attaccanti.
5. Comunicazione con Domini di Controllo
   Un’altra sezione del codice rivela che il malware comunica con vari domini (dksu.top, mixcom.one, freebasic.cn), utilizzati probabilmente come server di comando e controllo per inviare e ricevere istruzioni. Questa scelta di domini suggerisce un’infrastruttura flessibile, che permette agli attaccanti di gestire più campagne o di passare facilmente da un server all’altro in caso di necessità.

Rischio e Diffusione del Malware

ToxicPanda è attualmente attivo in diversi paesi europei e latinoamericani, con oltre 1.500 dispositivi infetti. La sua capacità di intercettare dati sensibili, catturare immagini e comunicare con un server di controllo rende questo malware particolarmente pericoloso, soprattutto per i paesi con infrastrutture bancarie digitali avanzate come l’Italia.

Misure di Protezione

Di fronte a minacce sofisticate come ToxicPanda, è essenziale adottare misure di sicurezza rigorose:

1. Installare app solo da fonti affidabili come Google Play Store.
2. Aggiornare regolarmente il dispositivo e le app per assicurarsi che tutte le vulnerabilità siano risolte.
3. Utilizzare antivirus e firewall per monitorare l’attività sospetta.
4. Prestare attenzione alle autorizzazioni richieste dalle app, in particolare quelle che coinvolgono accesso ai servizi di accessibilità, alla fotocamera o alla galleria.

Conclusione

ToxicPanda rappresenta un altro esempio di come i malware bancari continuino ad evolversi per sfruttare vulnerabilità dei dispositivi Android. Gli utenti e le aziende devono rimanere vigili e adottare misure preventive per contrastare queste minacce. La protezione dei dati sensibili non è mai stata così critica, e il caso di ToxicPanda ne è un ulteriore promemoria.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore