Nuevo troyano bancario ToxicPanda ataca a Europa y Latinoamérica

Más de 1.500 dispositivos Android han sido infectados por ToxicPanda, un troyano bancario que permite a los actores maliciosos realizar transacciones bancarias fraudulentas. La mayoría de las infecciones se han reportado en Italia (56,8 %), seguido de Portugal (18,7 %), Hong Kong (4,6 %), España (3,9 %) y Perú (3,4 %).

Se cree que ToxicPanda ha sido desarrollado por actores de habla china, algo que no es frecuente teniendo en cuenta teniendo que el troyano tiene en el punto de mira regiones tales como Europa y Latinoamérica, lo que podría indicar una expansión o un cambio en su enfoque operativo.

Según investigadores de la compañía Cleafy, «el objetivo principal de ToxicPanda es iniciar transferencias de dinero desde dispositivos comprometidos a través de la toma de control de cuentas (ATO, account takeover) utilizando una técnica bien conocida llamada fraude en el dispositivo (ODF, on-device fraud). Su objetivo es eludir las contramedidas bancarias utilizadas para imponer la verificación de la identidad y la autenticación de los usuarios, combinadas con técnicas de detección de comportamiento aplicadas por los bancos para identificar transferencias de dinero sospechosas».

El troyano comparte similitudes en sus fundamentos con TgToxic, otro troyano que puede robar credenciales y fondos de carteras de criptomonedas que fue documentado a principios de 2023 por Trend Micro. ToxicPanda parece encontrarse en una fase inicial de su desarrollo, ya que los análisis muestran que es una versión reducida de su antecesor en la que se han eliminado rutinas de ofuscación, ATS (Automatic Transfer System), y Easyclick.

Se han encontrado en ToxicPanda 33 nuevos comandos propios para recopilar una gran variedad de datos de las víctimas, así como 61 comandos comunes a TgToxic y ToxicPanda, lo que indicaría que detrás de este último se encuentra el mismo actor detrás de TgToxic o sus afiliados cercanos.

Los investigadores afirman: «Aunque comparte algunas similitudes en los comandos con la familia TgToxic, el código diverge considerablemente de su fuente original. Muchas capacidades características de TgToxic están notoriamente ausentes, y algunos comandos aparecen pero no están implementados realmente.»

El troyano suplanta aplicaciones populares tales como Google Chrome, Visa y 99 Speedmart, y se distribuye a través de páginas falsificadas que imitan los listados de las tiendas de aplicaciones. Actualmente se desconoce cómo se propagan los enlaces a estas páginas y si implican técnicas de malvertising o smishing.

Ejemplo de página web que lista aplicaciones que contienen ToxicPanda. Fuente de la imagen: Cleafy.

Después de instalarse desde estas páginas, ToxicPanda abusa de los servicios de accesibilidad de Android para conseguir permisos elevados, manipular la entrada del usuario y capturar datos de otras aplicaciones. También puede interceptar contraseñas de un solo uso (OTP), enviadas mediante SMS o aplicaciones de autenticación, permitiendo a los atacantes eludir las protecciones de segundo factor de autenticación (2FA) y así completar transacciones fraudulentas. La funcionalidad principal de ToxicPanda es permitir a los atacantes controlar el dispositivo comprometido y realizar fraude en el dispositivo (ODF, on-device fraud), lo que permitiría realizar transferencias de dinero no autorizadas sin el conocimiento de la víctima.

Cleafy afirma haber conseguido acceder al panel de administración del troyano, una interfaz gráfica que permite a los operadores ver la lista de dispositivos infectados e información sobre ellos y solicitar acceso remoto en tiempo real para realizar ODF.

Imagen del panel de comando y control de ToxicPanda. Fuente de la imagen: Cleafy.

No obstante, los investigadores concluyen que ToxicPanda está sufriendo un largo proceso de refactorización, dadas las similitudes con TgToxic y la existencia de código muerto y cierta información en los logs y en ficheros de depuración.

Una cuestión importante que se desprende del análisis de ToxicPanda no es sólo cómo defenderse de este tipo de amenazas, sino por qué las soluciones antivirus actuales han tenido problemas para detectar una amenaza que, en términos técnicos, es relativamente sencilla. Aunque no hay una respuesta única a esta pregunta, se hace necesario contar sistemas de detección proactivos y en tiempo real que pudieran ayudar a prevenir o mitigar los ataques antes de que pueda materializarse una amenaza a gran escala.

Más información:

• New Android Banking Malware ‘ToxicPanda’ Targets Users with Fraudulent Money Transfers https://thehackernews.com/2024/11/new-android-banking-malware-toxicpanda.html
• ToxicPanda: a new banking trojan from Asia hit Europe and LATAM | Cleafy Labs https://www.cleafy.com/cleafy-labs/toxicpanda-a-new-banking-trojan-from-asia-hit-europe-and-latam 
• ToxicPanda, a new Android banking trojan. Abuses accessibility services, intercepts OTPs, and uses a Chinese-language command-and-control panel for remote access. IOC´s in https://x.com/koodous_project/status/1854401402178556190

La entrada Nuevo troyano bancario ToxicPanda ataca a Europa y Latinoamérica se publicó primero en Una Al Día.