Malware para dispositivos móviles ToxicPanda

Una nueva cepa del malware bancario para Android, denominada ToxicPanda, ha infectado más de 1.500 dispositivos Android, lo que permite a los cibercriminales realizar transacciones bancarias fraudulentas. El objetivo principal de ToxicPanda es iniciar transferencias de dinero no autorizadas desde dispositivos comprometidos a través de la apropiación de cuentas (ATO) utilizando una técnica conocida como fraude en el dispositivo (ODF). Este método busca evadir las medidas de seguridad de los bancos diseñadas para verificar las identidades de los usuarios y detectar patrones de transacciones inusuales a través del análisis del comportamiento.

Los investigadores creen que ToxicPanda proviene de un actor de amenazas de habla china. El malware tiene similitudes notables con TgToxic , otro malware para Android identificado a principios de 2023. TgToxic es capaz de robar credenciales y fondos de billeteras de criptomonedas.

ToxicPanda se dirige a un conjunto diverso de países

La mayoría de las infecciones se han observado en Italia (56,8%), seguida de Portugal (18,7%), Hong Kong (4,6%), España (3,9%) y Perú (3,4%). Se trata de un caso inusual en el que un actor de amenazas chino ha atacado a usuarios de banca minorista tanto en Europa como en América Latina.

Este troyano bancario parece estar en sus primeras etapas, y los análisis revelan que es una versión reducida de su predecesor. Se han eliminado funciones clave como el Sistema de Transferencia Automática (ATS), Easyclick y rutinas de ofuscación, mientras que se han agregado 33 comandos nuevos para extraer una gama más amplia de datos.

Además, TgToxic y ToxicPanda comparten 61 comandos, lo que sugiere que es probable que el mismo actor de amenazas o asociados cercanos estén detrás de esta familia de malware. Aunque ToxicPanda conserva algunas similitudes en los comandos de bot con la familia TgToxic, su código difiere significativamente. Faltan varias funciones típicas de TgToxic y algunos comandos parecen ser marcadores de posición sin ninguna funcionalidad real.

¿Cómo funciona el troyano bancario ToxicPanda?

El malware se hace pasar por aplicaciones conocidas como Google Chrome, Visa y 99 Speedmart y se distribuye a través de sitios web falsos que imitan los listados de tiendas de aplicaciones legítimas. No está claro cómo se comparten estos enlaces o si se utilizan técnicas como el malvertising o el smishing.

Una vez instalado mediante carga lateral, ToxicPanda explota los servicios de accesibilidad de Android para obtener permisos elevados, automatizar las entradas de los usuarios y capturar datos de otras aplicaciones. Puede interceptar contraseñas de un solo uso (OTP) enviadas por SMS o aplicaciones de autenticación, lo que permite a los atacantes eludir la autenticación de dos factores (2FA) y completar transacciones no autorizadas.

Más allá de la recopilación de datos, la función principal del malware permite a los atacantes controlar el dispositivo comprometido de forma remota y ejecutar fraudes en el dispositivo (ODF), facilitando transferencias de dinero no autorizadas sin el conocimiento de la víctima.

Los investigadores informan que accedieron al panel de Comando y Control (C2) de ToxicPanda. En esta interfaz en idioma chino, los operadores pueden ver una lista de dispositivos infectados, incluidos detalles del modelo y la ubicación, e incluso eliminarlos de la botnet. El panel también permite a los operadores solicitar acceso remoto en tiempo real a los dispositivos para ejecutar actividades ODF.

ToxicPanda podría estar en una etapa temprana de desarrollo por parte de cibercriminales

ToxicPanda aún no ha mostrado capacidades más sofisticadas o distintivas que hagan que su análisis sea más complicado. Sin embargo, elementos como los datos de registro, el código no utilizado y los archivos de depuración indican que el malware podría estar en las primeras etapas de desarrollo o en una refactorización importante del código, especialmente si se consideran sus similitudes con TGToxic.