През октомври 2024 г. екипът на Cleafy откри нова злонамерена кампания срещу Android, която е свързана с банковия троянски кон ToxicPanda, отличаващ се от останалите злонамерени приложения по метода си на работа.

Изследователите първоначално свързаха зловредния софтуер с TgToxic, който се разпространяваше в Югоизточна Азия, но се оказа, че ToxicPanda има различен код и нови функции, така че беше изолиран като отделен вирус. Основната цел на ToxicPanda е да поеме контрола над устройството, за да извършва банкови преводи, използвайки техниката On-Device Fraud (ODF). Това позволява на троянския кон да заобиколи банковите системи за сигурност, предназначени да проверяват самоличността на клиента.

Експертите са открили, че ботнетът ToxicPanda вече е заразил повече от 1500 устройства в страни като Италия, Португалия, Испания и Перу. Освен това Италия е основният регион на атаката, където около 57% от всички устройства са заразени. Атаките бяха насочени към 16 банки. Смята се, че създателите на вируса говорят китайски, което е рядкост за атаките, насочени към Европа и Латинска Америка.

Вирусът се разпространява чрез злонамерени приложения, които се маскират като добре познати програми от рода на Google Chrome и Visa, или приложения за запознанства. По този начин нападателите подвеждат хората да инсталират троянския кон. Съдейки по изходния код, разработката е на ранен етап и някои команди в кода са обозначени само като „празни“, без действително изпълнение.

От техническа страна, ToxicPanda има редица възможности за кибератаки. Злонамереният софтуер може да управлява дистанционно устройството, да има достъп до еднократните пароли, за да заобиколи двуфакторното удостоверяване и да скрие присъствието си с помощта на сложни методи за камуфлаж. В същото време, за разлика от по-старите версии на TgToxic, ToxicPanda премахва системата за автоматичен превод, което опростява структурата на вируса.

Други функции на ToxicPanda включват възможността за скриване и блокиране на достъпа до системните настройки, използването на сигурността и управлението на разрешенията. Такива функции помагат да се скрие троянският кон на устройството и затрудняват премахването му.

Техническите аспекти на кампанията потвърждават, че зловредния софтуер е фокусиран върху директното взаимодействие със заразените устройства, предоставяйки на операторите възможност за ръчно управление и заобикаляне на банковата защита. Освен това троянецът записва и предава към C2-сървъра потребителските скрийншоти, което позволява събиране на екранни снимки, показващи идентификационните данни при влизане в банковото приложение.

Информацията от вируса е настроена по такъв начин, че използва твърдо кодирани домейни за комуникация с C2-сървъра. Този механизъм улеснява управлението на ботнета, но намалява гъвкавостта в случай, че домейните са блокирани. ToxicPanda също използва криптиране за защитата на прехвърлените данни.

Достъпът до контролния панел на ботнета е позволил на екипа на Cleafy да разбере как хакерите контролират заразените устройства и извършват измамни операции. Такава информация помага на анализаторите да разработят контрамерки и да предотвратят по-нататъшното разпространение на вируса. ToxicPanda показва, че заплахите за банковите приложения в Европа и Латинска Америка нарастват и изисква от компаниите да засилят защитата на мобилните устройства.