Nuova minaccia Android: ToxicPanda, il malware bancario che svuota i conti in Europa e America Latina

Nuova minaccia Android: ToxicPanda, il malware bancario che svuota i conti in Europa e America Latina

ToxicPanda: Anatomia di una nuova minaccia bancaria Android, strategie di attacco e consigli contro la frode finanziaria mobile

Negli ultimi anni, il panorama delle minacce digitali su dispositivi mobili ha avuto una crescita esponenziale. In particolare, il settore Android, con la sua ampia diffusione a livello globale, si è dimostrato terreno fertile per sofisticati malware bancari sviluppati per eludere i sistemi di sicurezza più avanzati. Uno degli esempi più attuali e rilevanti è ToxicPanda, una nuova variante individuata a novembre 2024 e responsabile di oltre 1.500 infezioni su dispositivi Android distribuiti prevalentemente in Italia, Portogallo, Spagna, Francia, Hong Kong e Perù.

In questo articolo esamineremo in dettaglio il funzionamento di ToxicPanda, le sue peculiarità tecniche, le strategie di distribuzione, il profilo dei soggetti dietro l’attacco e, soprattutto, i metodi di difesa indispensabili per utenti e organizzazioni.

Che cos’è ToxicPanda?

ToxicPanda è una famiglia di malware bancari (banking trojan) indirizzata verso dispositivi mobili Android. Il suo obiettivo principale è il furto di fondi bancari attraverso sofisticate tecniche di frode, quali “on-device fraud” (ODF) e account takeover (ATO), ovvero il completo controllo del conto corrente online del bersaglio per eseguire trasferimenti fraudolenti senza il suo consenso né consapevolezza.

Nonostante le sue origini siano riconducibili ad un malware precedente, TgToxic, ToxicPanda presenta una struttura alleggerita e aggiornata, dimostrando così la continua evoluzione delle metodiche cybercriminali. La semplificazione del codice, rispetto alle versioni precedenti, è in gran parte dovuta all’adattamento a nuovi target geografici e alle diverse strategie regolamentari adottate da pagamenti digitali e banche in Europa e America Latina.

Come si diffonde ToxicPanda: le tecniche di infezione

La diffusione di ToxicPanda avviene principalmente tramite applicazioni fake che imitano app legittime di largo utilizzo, come Google Chrome o Visa. Queste app sono veicolate attraverso siti web che simulano store ufficiali, convincendo l’utente a scaricare e installare manualmente (sideloading) il pacchetto malevolo. A differenza delle app verificate dal Play Store, le applicazioni dannose sono prive di adeguati controlli di sicurezza.

Ecco come avviene l’infezione:

  • L’utente riceve un link tramite SMS, email o chat, apparentemente inviato dall’istituto bancario o da un fornitore di servizi noto.
  • Il link punta a una finta pagina di download, graficamente simile a quella ufficiale, dove viene proposta l’installazione di una “utility” o “aggiornamento”.
  • Una volta scaricata l’app fake e concessi i permessi richiesti (solitamente tramite pressanti richieste di “abilitare le funzionalità di accessibilità”), ToxicPanda si insedia nel sistema.

Le capacità tecniche di ToxicPanda

Il successo di ToxicPanda risiede nella sua abilità di sfruttare le funzioni di accessibilità di Android. Questi permessi, pensati per aiutare utenti con disabilità, se abusati possono consentire il pieno controllo del dispositivo, l’intercettazione di codici OTP, la lettura e la risposta a SMS, e la manipolazione delle app bancarie in tempo reale.

Le funzioni principali includono:

  • Account Takeover (ATO): il malware prende completo controllo delle app bancarie, consentendo trasferimenti e pagamenti senza che l’utente se ne accorga.
  • On-Device Fraud (ODF): le frodi avvengono direttamente sul dispositivo della vittima, rendendo molto difficile per le banche identificare comportamenti anomali o fraudolenti.
  • Intercettazione degli OTP e bypass del 2FA: l’accesso ai messaggi e alle notifiche permette a ToxicPanda di “rubare” i codici di autenticazione a due fattori, eludendo così i principali sistemi di sicurezza degli istituti finanziari.
  • Comandi remoti: il malware riceve indicazioni da un pannello di controllo (C2 – command and control), attraverso il quale i criminali monitorano e influenzano in tempo reale le attività del dispositivo.

Caratteristiche evolutive rispetto ai predecessori

ToxicPanda si distingue dai precedenti TGToToxic principalmente per:

  • Minore complessità di codice e assenza di sofisticate tecniche di offuscazione, probabilmente per incrementare il tasso di infezione e adattarsi a nuovi mercati.
  • Implementazione di 33 nuovi comandi che, seppur in parte placeholder o in fase sperimentale, denotano un processo di sviluppo in corso e una minaccia destinata a evolversi rapidamente.

Chi c’è dietro ToxicPanda?

L’analisi del codice ha evidenziato tracce riconducibili a un gruppo criminale di lingua cinese, già attivo con varianti precedenti e ora intenzionato ad espandere il raggio d’azione verso regioni europee e sudamericane. Questa scelta rappresenta un cambiamento strategico importante rispetto ai bersagli asiatici tradizionali.

Perché ToxicPanda è difficile da rilevare

La tecnica “on-device fraud” permette al malware di eseguire tutte le operazioni sospette direttamente dallo smartphone della vittima, replicando in tutto e per tutto il comportamento umano. Di conseguenza, i sistemi antifrode delle banche hanno enormi difficoltà nell’individuare transazioni anomale, dato che avvengono da dispositivi “attesi”, con le solite credenziali e caratteristiche comportamentali della vittima.

La combinazione tra abuso delle API di accessibilità e tecniche di social engineering rende ToxicPanda particolarmente insidioso e difficile da intercettare.

Consigli per difendersi da ToxicPanda e altri malware bancari Android

Proteggersi da minacce come ToxicPanda è oggi più che mai prioritario. Ecco un elenco di strategie e best practice per difendersi efficacemente:

  • Scarica solo app da fonti ufficiali. Non installare mai applicazioni da link sospetti o ricevuti tramite email, SMS e chat. Usa unicamente il Google Play Store o lo store originale del produttore.
  • Verifica sempre i permessi richiesti da un’app: le app che richiedono accesso alle funzioni di accessibilità, SMS, notifiche, elenco delle app installate e funzioni di sistema vanno trattate con massima diffidenza.
  • Aggiorna il sistema operativo e le app regolarmente: molte vulnerabilità vengono sfruttate proprio su sistemi non aggiornati.
  • Attiva la verifica in due passaggi (2FA) ove possibile, prediligendo app di autenticazione rispetto agli SMS.
  • Non cliccare mai su link ricevuti via SMS o email, anche se apparentemente provenienti dalla propria banca. In caso di dubbio, visita l’home banking inserendo manualmente l’indirizzo nel browser.
  • Utilizza app antivirus affidabili, in grado di segnalare comportamenti sospetti e bloccare tentativi di phishing o esfiltrazione dati.
  • Disabilita l’installazione di app da fonti sconosciute nelle impostazioni di sicurezza Android.
  • Controlla periodicamente le app installate e rimuovi quelle che non riconosci o che risultano sospette.
  • Attenzione ai permessi di accessibilità: verifica con regolarità quali applicazioni hanno ricevuto questo tipo di permessi e revoca immediatamente l’autorizzazione a quelle non riconosciute.
  • Informa e forma i familiari o le persone meno esperte sull’esistenza di queste minacce e sulle corrette prassi di comportamento online.

Consigli avanzati per utenti e aziende

  • Monitoraggio del traffico di rete: l’ispezione dei log di rete può aiutare a identificare collegamenti sospetti verso server di comando e controllo (C2).
  • Soluzioni di Mobile Threat Defense (MTD): soprattutto per aziende che permettono o richiedono l’uso di dispositivi personali per le attività di lavoro (BYOD), adottare piattaforme di protezione dedicate è fondamentale.
  • Gestione centralizzata delle policy di sicurezza: limita la possibilità per gli utenti di installare app non autorizzate e definisci permessi restrittivi.
  • Simulazioni di attacco e formazione continua: aggiorna regolarmente il personale sui rischi emergenti attraverso simulazioni e workshop di sicurezza.

Cosa fare in caso di sospetta infezione

  • Disconnetti immediatamente il dispositivo dalla rete, sia WiFi che dati mobili.
  • Comunica subito con la propria banca e blocca temporaneamente l’account attraverso i canali ufficiali.
  • Effettua un backup dei dati e ripristina il dispositivo alle impostazioni di fabbrica.
  • Cambia tutte le password dei servizi online, a partire da quelli bancari e di posta elettronica, preferibilmente da un altro dispositivo sicuro.
  • Presenta denuncia alla polizia postale o alle autorità competenti in materia di reati informatici.

Strumenti innovativi per la difesa

La comunità accademica e le aziende di cybersecurity stanno sviluppando tool di rilevamento automatizzato. Ad esempio, progetti come DVa sono in grado di identificare attivamente malware che abusano delle API di accessibilità, rappresentando nuove risorse contro la diffusione di minacce simili.

ToxicPanda segna un nuovo capitolo nell’evoluzione del malware bancario mobile, dimostrando come cybercriminali siano sempre più proattivi nello sviluppare tecniche in grado di bypassare anche le forme di autenticazione più avanzate. Difendersi è possibile soltanto adottando un approccio informato e proattivo: aggiornamento continuo, prudenza digitale e consapevolezza sono gli strumenti più efficaci contro questa e le future minacce.

Fonte: https://gbhackers.com/toxicpanda-android-banking-malware

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto