La minacci, creata da dei cybercriminali cinesi, può aggirare i sistemi di sicurezza e sottrarre denaro dai conti degli utenti
ToxicPanda è un nuovo Malware che minaccia i device Android in Europa e America Latina, con l’Italia come principale focolaio di infezioni. Identificata dal team di ricerca Cleafy, questa minaccia mette a rischio la sicurezza bancaria.
Origini e diffusione
Gli sviluppatori, cybercriminali di lingua cinese, hanno progettato ToxicPanda per aggirare i sistemi di sicurezza bancari e sottrarre denaro dai conti degli utenti. Appartiene alla moderna generazione RAT (Remote Access Trojan) di malware mobile. Le sue capacità consentono ai Threat Actor (TA) di condurre Account Takeover (ATO) direttamente dal dispositivo infetto. ToxicPanda ha già infettato oltre 1.500 dispositivi, prevalentemente in Italia.
Geografia dell’infezione
Il Portogallo segue l’Italia con il 18,7% delle infezioni totali mentre Hong Kong registra il 4,6%, forse utilizzato come terreno di prova o nuovo mercato d’interesse in Asia.
Anche Spagna e Perù mostrano che gli autori stanno espandendo il raggio d’azione del malware verso nuovi mercati.
Tecniche avanzate
ToxicPanda è dotato di capacità tecniche avanzate che lo rendono particolarmente insidioso per gli istituti finanziari: abuso dei Servizi di Accessibilità per ottenere permessi elevati; controllo remoto completo dei dispositivi infetti; intercettazione delle OTP bypassando l’autenticazione a due fattori; tecniche avanzate di offuscamento del codice.
Modalità di diffusione
Si diffonde principalmente tramite sideloading: gli utenti scaricano e installano app da fonti esterne agli app store ufficiali come Google Play o Galaxy Store. I criminali informatici creano pagine app false per indurre al download del malware all’interno di app popolari.
Consigli per la sicurezza
È consigliabile scaricare e installare app solo da fonti affidabili oltre a mantenere il dispositivo sempre aggiornato con le patch più recenti. Nonostante la sua attuale pericolosità, ToxicPanda mostra segni che suggeriscono una fase di crescita e miglioramento.
Sovrapposizione con altri malware
ToxicPanda si sovrappone significativamente ai nomi dei comandi utilizzati nella famiglia TgToxic indicando che lo stesso TA potrebbe essere responsabile entrambi i malware. Questo solleva interrogativi sull’efficacia delle protezioni antivirus attuali.
Cleafy evidenzia la necessità un sistema “Early Warning” che consenta rilevare tempestivamente le minacce emergenti bloccandole prima della loro diffusione su larga scala.