Más de 1.500 dispositivos Android han sido infectados por una nueva variedad de malware bancario para Android llamado ToxicPanda que permite a los actores de amenazas realizar transacciones bancarias fraudulentas.
“El objetivo principal de ToxicPanda es iniciar transferencias de dinero desde dispositivos comprometidos mediante la apropiación de cuentas (ATO) utilizando una técnica bien conocida llamada fraude en el dispositivo (ODF)”, dijeron los investigadores de Cleafy Michele Roviello, Alessandro Strino y Federico Valentini en un análisis del lunes. .
“Su objetivo es evitar las contramedidas bancarias utilizadas para imponer la verificación y autenticación de la identidad de los usuarios, combinadas con técnicas de detección de comportamiento aplicadas por los bancos para identificar transferencias de dinero sospechosas”.
Se cree que ToxicPanda es obra de un actor de amenazas de habla china, y el malware comparte similitudes fundamentales con otro malware de Android denominado TgToxic, que puede robar credenciales y fondos de billeteras criptográficas. TgToxic fue documentado por Trend Micro a principios de 2023.
La mayoría de los compromisos se han reportado en Italia (56,8%), seguida de Portugal (18,7%), Hong Kong (4,6%), España (3,9%) y Perú (3,4%), lo que marca un raro caso de compromiso chino. Actor de amenazas que orquesta un plan fraudulento dirigido a usuarios de banca minorista en Europa y América Latina.
El troyano bancario también parece estar en su fase inicial. El análisis muestra que es una versión simplificada de su antecesor, que elimina el Sistema de transferencia automática (ATS), Easyclick y las rutinas de ofuscación, al tiempo que introduce 33 nuevos comandos propios para recopilar una amplia gama de datos.
Además, se ha descubierto que hasta 61 comandos son comunes tanto para TgToxic como para ToxicPanda, lo que indica que el mismo actor de amenazas o sus afiliados cercanos están detrás de la nueva familia de malware.
“Si bien comparte algunas similitudes con los comandos de bots de la familia TgToxic, el código difiere considerablemente de su fuente original”, dijeron los investigadores. “Muchas capacidades características de TgToxic están notablemente ausentes, y algunos comandos aparecen como marcadores de posición sin una implementación real”.
El malware se hace pasar por aplicaciones populares como Google Chrome, Visa y 99 Speedmart, y se distribuye a través de páginas falsificadas que imitan las páginas de listas de tiendas de aplicaciones. Actualmente no se sabe cómo se propagan estos enlaces y si implican técnicas de publicidad maliciosa o smishing.
Una vez instalado mediante descarga lateral, ToxicPanda abusa de los servicios de accesibilidad de Android para obtener permisos elevados, manipular las entradas del usuario y capturar datos de otras aplicaciones. También puede interceptar contraseñas de un solo uso (OTP) enviadas por SMS o generadas mediante aplicaciones de autenticación, lo que permite a los actores de amenazas eludir las protecciones de autenticación de dos factores (2FA) y completar transacciones fraudulentas.
La funcionalidad principal del malware, además de su capacidad para recopilar información, es permitir a los atacantes controlar de forma remota el dispositivo comprometido y realizar lo que se llama ODF, que permite iniciar transferencias de dinero no autorizadas sin el conocimiento de la víctima.
Cleafy dijo que pudo obtener acceso al panel de comando y control (C2) de ToxicPanda, una interfaz gráfica presentada en chino que permite a los operadores ver la lista de dispositivos víctimas, incluida la información del modelo y la ubicación, y eliminarlos de el capó. Además, el panel sirve como conducto para solicitar acceso remoto en tiempo real a cualquiera de los dispositivos para realizar ODF.
“ToxicPanda necesita demostrar capacidades más avanzadas y únicas que complicarían su análisis”, dijeron los investigadores. “Sin embargo, artefactos como información de registro, código inactivo y archivos de depuración sugieren que el malware puede estar en sus primeras etapas de desarrollo o pasando por una extensa refactorización de código, particularmente dadas sus similitudes con TGToxic”.
El desarrollo se produce cuando un grupo de investigadores del Instituto de Tecnología de Georgia, la Universidad Internacional Alemana y la Universidad Kyung Hee detallaron un servicio de análisis de malware backend llamado DVa (abreviatura de Detector de accesibilidad específica de las víctimas) para detectar malware que explota las funciones de accesibilidad en dispositivos Android. .
“Utilizando seguimientos de ejecución dinámicos, DVa utiliza además una estrategia de ejecución simbólica guiada por vectores de abuso para identificar y atribuir rutinas de abuso a las víctimas”, dijeron. “Finalmente, DVa detecta mecanismos de persistencia potenciados (de accesibilidad) para comprender cómo el malware obstruye las consultas legales o los intentos de eliminación”.