Un nuovo malware bancario, chiamato ToxicPanda, ha infettato oltre 1.500 dispositivi Android, consentendo agli attori malevoli di eseguire transazioni bancarie fraudolente.
“ToxicPanda è l’ennesima minaccia sviluppata per il settore bancario mobile, da sempre oggetto di interesse da parte della criminalità informatica”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Indice degli argomenti
ToxicPanda infetta gli utenti Android: avvia trasferimenti di denaro fraudolenti
La maggior parte delle compromissioni è stata segnalata in Italia (56,8%), seguita da Portogallo (18,7%), Hong Kong (4,6%), Spagna (3,9%) e Perù (3,4%).
Pare che ToxicPanda sia opera di un attore di lingua cinese. “Ritengo allarmante la diffusione in Europa di questo malware, la cui genesi parrebbe essere cinese”, conferma Paganini: “Interessante l’osservazione dei ricercatori di Cleafy, secondo i quali non è comune osservare gruppi criminali di origine cinese che specializzano le proprie operazioni contro utenti e banche in Europa e LATAM”.
Il malware condivide somiglianze in elementi fondamentali con un altro malware Android, TgToxic. Quest’ultimo, secondo Trend Micro che lo ha rilevato all’inizio del 2023, è in grado di rubare credenziali e fondi dai portafogli di criptovalute.
“Il trojan si distingue infatti per l’utilizzo di tecniche avanzate di On-Device Fraud (ODF) che gli consentono di prendere il controllo degli account delle vittime e trasferire denaro a loro insaputa“, mette in guardia Paganini.
“ToxicPanda mira ad aggirare le contromisure bancarie utilizzate per imporre la verifica e l’autenticazione dell’identità degli utenti, in combinazione con le tecniche di rilevamento comportamentale applicate dalle banche per identificare i trasferimenti di denaro sospetti”, hanno spiegato i ricercatori di Cleafy, Michele Roviello, Alessandro Strino e Federico Valentini in una recente analisi.
Le differenze con l’antenato
Il trojan bancario sembra agli albori. S tratta di una versione ridotta del suo antenato. Infatti ha rimosso il sistema di trasferimento automatico (ATS), l’Easyclick e le routine di offuscamento. Però ha anche introdotto 33 nuovi comandi per raccogliere un’ampia gamma di dati.
Inoltre, sono ben 61 i comandi comuni sia a TgToxic che a ToxicPanda. Dunque, dietro alla nuova famiglia di malware, si cela lo stesso attore delle minacce o i suoi stretti affiliati.
“Sebbene condivida alcune somiglianze di comandi bot con la famiglia TgToxic, il codice si discosta notevolmente dalla sua fonte originale”, hanno dichiarato i ricercatori. “Molte funzionalità caratteristiche di TgToxic sono notevolmente assenti e alcuni comandi appaiono come segnaposto senza una reale implementazione”.
I dettagli di ToxicPanda per Android
Il malware si maschera da applicazioni popolari come Google Chrome, Visa e 99 Speedmart. Distribuito via pagine contraffatte che imitano le pagine degli app store, al momento non è noto come avvenga la diffusione di questi link e se coinvolgano tecniche di malvertising o smishing.
Una volta installato tramite sideloading, ToxicPanda abusa dei servizi di accessibilità di Android per ottenere permessi elevati, manipolare gli input dell’utente e acquisire dati da altre app. Può anche intercettare le one-time password (OTP) inviate via SMS o generate tramite app di autenticazione, consentendo così agli attori delle minacce di aggirare le protezioni di autenticazione a due fattori (2FA) e completare transazioni fraudolente.
Il malware, oltre al saper raccogliere informazioni, è pericoloso perché consente agli aggressori di controllare da remoto il dispositivo compromesso e di eseguire la cosiddetta ODF. Essa permette di avviare trasferimenti di denaro non autorizzati all’insaputa della vittima.
Cleafy ha dichiarato di essere riuscito ad accedere al pannello di comando e controllo (C2) di ToxicPanda, un’interfaccia grafica presentata in cinese che consente agli operatori di visualizzare l’elenco dei dispositivi vittima. Comprese le informazioni sul modello e la posizione, e di rimuoverli dal cofano. Inoltre, il pannello funge da canale per richiedere l’accesso remoto in tempo reale a qualsiasi dispositivo per condurre l’ODF.
“Sebbene la minaccia sia ancora in piena evoluzione e manchi ancora di alcune sue componenti distintive, le sue caratteristiche tecniche e l’ampliamento dei confini geografici dell’operazione sono elementi che devono destare preoccupazione nella comunità internazionale di analisti”, conclude Paganini.
Come proteggersi
“ToxicPanda deve dimostrare capacità più avanzate e uniche che ne complicherebbero l’analisi”, hanno dichiarato i ricercatori. “Tuttavia, gli artefatti come le informazioni di log, il dead code e i file di debug suggeriscono che il malware potrebbe essere nelle prime fasi di sviluppo o in fase di refactoring del codice, in particolare date le sue somiglianze con TGToxic”, affermano i ricercatori.
Intanto un gruppo di ricercatori del Georgia Institute of Technology, della German International University e della Kyung Hee University ha rilasciato un dettagliato un servizio di analisi del malware backend chiamato DVa (acronimo di Detector of Victim-specific Accessibility) per segnalare che sfrutta le funzioni di accessibilità sui dispositivi Android.
“Utilizzando tracce di esecuzione dinamica, DVa utilizza inoltre una strategia di esecuzione simbolica guidata dai vettori di abuso per identificare e attribuire le routine di abuso alle vittime. Infine, DVa rileva i meccanismi di persistenza [accessibilità] per capire come il malware ostacola le interrogazioni legali o i tentativi di rimozione”, concludono i ricercatori.
Queste caratteristiche dimnostrano che la miglior arma di difesa è la consapevolezza, oltre a una buona routine di cyber igiene: mantenere i sistemi aggiornati e non scaricare app e software fuori dai marketplace ufficiali.