Da un team di ricercatori arriva un nuovo allarme relativo alla sicurezza dei dispositivi Android: è stata individuata, infatti, una nuova variante di malware bancario che avrebbe già colpito 1.500 device.

ToxicPanda, questo il nome di tale malware, pare sia in grado di consentire al malintenzionato di turno di effettuare delle transazioni bancarie fraudolente e, aspetto ancora più preoccupante, la campagna avrebbe preso di mira anche utenti europei.

Offerta

Samsung Galaxy S25 Ultra 12/512GB

989.99€ invece di 1226.01€
-19%
Amazon

Cosa sappiamo di questo nuovo malware Android

Stando a quanto è stato rivelato dal team di ricercatori di Cleafy, l’obiettivo di ToxicPanda è avviare trasferimenti di denaro da dispositivi compromessi attraverso una tecnica nota come ODF (on-device fraud), aggirando le contromisure bancarie usate per far rispettare la verifica dell’identità e l’autenticazione degli utenti, combinandole con le tecniche di rilevamento comportamentale applicate dalle banche per individuare i trasferimenti di denaro sospetti.

Sempre secondo i ricercatori di Cleafy, dietro ToxicPanda vi sarebbero degli hacker cinesi e sono state individuate delle similitudini con un altro malware di origine cinese scoperto lo scorso anno, ossia TgToxic.

E la notizia peggiore è che la maggior parte delle 1.500 compromissioni (che hanno riguardato 16 istituti bancari) è stata registrata proprio in Italia, a conferma del fatto che si tratta di una minaccia da non sottovalutare.

Il malware si maschera da app popolari (come ad esempio Google Chrome e dbltest) e viene distribuito tramite pagine contraffatte che imitano quelle dello store. Ecco un elenco con alcuni esempi di IOC (Indicatori di compromesso):

  • 2f5c4325f77280b2b58be981f9051f04 (Chrome)
  • 6e0a7e94ce0a1fe70d43fe727dc41061 (dbltest)
  • 68139c9e7960d3eb956472bdc5ed5ad2 (Chrome)
  • f5c44a7044572e39e8fb9fa8e1780924 (Chrome)
  • 4295dfdd9d9fad74ee08d48d13e2b856 (Chrome)

Una volta installato tramite sideloading, ToxicPanda abusa dei servizi di accessibilità di Android per ottenere permessi elevati, manipolare gli input degli utenti e catturare dati da altre app, essendo anche in grado di intercettare password monouso (OTP) inviate tramite SMS o generate tramite app di autenticazione e consentendo così agli autori della minaccia di aggirare le protezioni dell’autenticazione a due fattori (2FA) e completare transazioni fraudolente.

Per ulteriori informazioni vi rimandiamo all’articolo pubblicato da Cleafy.