Złośliwe oprogramowanie ToxicPanda atakuje banki w całej Europie i Ameryce Łacińskiej

W październiku 2024 roku, zespół ds. wywiadu zagrożeń firmy Cleafy odkrył nową kampanię trojańską bankowości mobilnej na Androida, początkowo powiązaną z znaną rodziną złośliwego oprogramowania TgToxic. Jednakże, po dalszym śledztwie, stało się jasne, że to nowe złośliwe oprogramowanie jest inne, co skłoniło ekspertów do śledzenia go pod nazwą ToxicPanda.

W swoim najnowszym raporcie, analitycy wyjaśniają, że ToxicPanda jest zaprojektowany do kradzieży pieniędzy z zainfekowanych urządzeń, omijając środki bezpieczeństwa banku.

Malware korzysta z techniki zwanej On-Device Fraud (ODF), która pozwala atakującym przejąć kontrolę nad kontem bankowym ofiary bez jej wiedzy. Może to ominąć systemy weryfikacji tożsamości i wykrywania zachowań, które banki używają do oznaczania podejrzanych aktywności.

Badacze wyjaśniają, że ToxicPanda działa poprzez wykorzystanie usług dostępności Androida. Pozwala to na przejęcie kontroli nad urządzeniem ofiary, przechwycenie jednorazowych haseł (OTP) i przeprowadzenie fałszywych transakcji bankowych. Może również ukryć swoją obecność na telefonie, co utrudnia wykrycie przez oprogramowanie antywirusowe.

Jednakże, jak zauważa raport, złośliwe oprogramowanie jest nadal we wczesnej fazie rozwoju. Niektóre części jego kodu są niekompletne, z poleceniami, które jeszcze nic nie robią.

Pomimo to, ToxicPanda udało się już zarazić ponad 1,500 urządzeń z systemem Android na terenie Włoch, Portugalii, Hiszpanii i Ameryki Łacińskiej. Te zainfekowane urządzenia są wykorzystywane w atakach na 16 różnych instytucji bankowych.

Podejrzewa się, że sprawcami zagrożeń (TAs) stojącymi za ToxicPanda są Chińczycy, co oznacza zmianę w regionach, które stają się ich celem.

Nietypowe jest, aby chińskojęzyczni cyberprzestępcy skupiali się na oszustwach bankowych w Europie i Ameryce Łacińskiej. Badacze sugerują, że może to wskazywać na potencjalną zmianę w ich operacyjnym zainteresowaniu.

Chociaż ToxicPanda nie jest tak zaawansowany jak niektóre inne trojany bankowe, ma wiele cech wspólnych z poprzednimi złośliwymi oprogramowaniami, takimi jak TgToxic.

Raport sugeruje, że twórcy tego złośliwego oprogramowania wydają się być nowi w celowaniu w instytucje finansowe poza swoimi regionami domowymi, co może wyjaśniać jego dość podstawowy kod i ograniczone funkcje.

Rozprzestrzenienie się ToxicPanda jest znaczące, z Włochami odnotowującymi największą liczbę zakażeń, a następnie krajami takimi jak Portugalia, Hiszpania i Peru. Ten szeroki zasięg geograficzny sygnalizuje, że twórcy złośliwego oprogramowania rozszerzają swoje cele, aby obejmować więcej krajów, szczególnie w Ameryce Łacińskiej.

Podsumowując, ToxicPanda to rosnące zagrożenie, które podkreśla zwiększającą się finezję oszustw bankowych na urządzeniach mobilnych. Chociaż złośliwe oprogramowanie nadal się rozwija, jego szybkie rozprzestrzenianie się na wiele regionów pokazuje, że cyberprzestępcy koncentrują się coraz bardziej na wykorzystywaniu systemów bankowych na całym świecie.