Más de 1.500 dispositivos Android han sido infectados por una nueva cepa de malware bancario para Android llamada ToxicPanda que permite a los actores de amenazas realizar transacciones bancarias fraudulentas.
«El objetivo principal de ToxicPanda es iniciar transferencias de dinero desde dispositivos comprometidos a través de la toma de cuenta (ATO) utilizando una técnica bien conocida llamada fraude en el dispositivo ( ODF )», dijeron los investigadores de Cleafy Michele Roviello, Alessandro Strino y Federico Valentini en un análisis del lunes.
«Su objetivo es eludir las contramedidas bancarias utilizadas para imponer la verificación y autenticación de la identidad de los usuarios, combinadas con técnicas de detección de comportamiento aplicadas por los bancos para identificar transferencias de dinero sospechosas».
Se cree que ToxicPanda es obra de un actor de amenazas de habla china, y que el malware comparte similitudes fundamentales con otro malware para Android llamado TgToxic , que puede robar credenciales y fondos de billeteras de criptomonedas. Trend Micro documentó TgToxic a principios de 2023.
Sistemas Android mas atacados
La mayoría de los ataques se han reportado en Italia (56,8%), seguido de Portugal (18,7%), Hong Kong (4,6%), España (3,9%) y Perú (3,4%), lo que marca un caso raro de un actor de amenazas chino orquestando un plan fraudulento para atacar a usuarios de banca minorista en Europa y América Latina.
El troyano bancario también parece estar en sus etapas iniciales. El análisis muestra que es una versión simplificada de su antecesor, que elimina el Sistema de Transferencia Automática ( ATS ), Easyclick y las rutinas de ofuscación, a la vez que introduce 33 nuevos comandos propios para recopilar una amplia gama de datos.
Además, se han descubierto 61 comandos comunes a TgToxic y ToxicPanda, lo que indica que el mismo actor de amenazas o sus afiliados cercanos están detrás de la nueva familia de malware.
«Si bien comparte algunas similitudes con los comandos de bot de la familia TgToxic, el código difiere considerablemente de su fuente original», dijeron los investigadores. «Notoriamente, muchas de las capacidades características de TgToxic están ausentes y algunos comandos aparecen como marcadores de posición sin una implementación real».
Mutación del malware
El malware se hace pasar por aplicaciones populares como Google Chrome, Visa y 99 Speedmart, y se distribuye a través de páginas falsificadas que imitan las páginas de anuncios de la tienda de aplicaciones. Actualmente, no se sabe cómo se propagan estos enlaces y si implican técnicas de publicidad maliciosa o smishing.
Una vez instalado mediante sideloading, ToxicPanda abusa de los servicios de accesibilidad de Android para obtener permisos elevados, manipular las entradas de los usuarios y capturar datos de otras aplicaciones. También puede interceptar contraseñas de un solo uso (OTP) enviadas por SMS o generadas mediante aplicaciones de autenticación, lo que permite a los actores de amenazas eludir las protecciones de autenticación de dos factores (2FA) y completar transacciones fraudulentas.
La funcionalidad principal del malware, además de su capacidad para recopilar información, es permitir a los atacantes controlar de forma remota el dispositivo comprometido y realizar lo que se denomina ODF , que hace posible iniciar transferencias de dinero no autorizadas sin el conocimiento de la víctima.
Cleafy afirmó que pudo acceder al panel de comando y control (C2) de ToxicPanda, una interfaz gráfica presentada en chino que permite a los operadores ver una lista de dispositivos víctimas, incluida información sobre el modelo, la ubicación y las opciones para eliminarlos de la botnet. Además, el panel sirve como conducto para solicitar acceso remoto en tiempo real a cualquiera de los dispositivos para realizar ODF.
El malware puede estar en desarrollo
«ToxicPanda necesita demostrar capacidades más avanzadas y únicas que complicarían su análisis», dijeron los investigadores. «Sin embargo, elementos como información de registro, código muerto y archivos de depuración sugieren que el malware puede estar en sus primeras etapas de desarrollo o en proceso de refactorización de código, en particular dadas sus similitudes con TgToxic».
El desarrollo surge luego de que un grupo de investigadores del Instituto de Tecnología de Georgia, la Universidad Internacional Alemana y la Universidad Kyung Hee detallaran un servicio de análisis de malware de backend llamado DVa (abreviatura de Detector de Accesibilidad Específica de Víctimas) para marcar el malware que explota las funciones de accesibilidad en los dispositivos Android.
«Mediante el uso de rastros de ejecución dinámicos, DVa utiliza además una estrategia de ejecución simbólica guiada por vectores de abuso para identificar y atribuir rutinas de abuso a las víctimas», afirmaron. «Por último, DVa detecta mecanismos de persistencia potenciados por [accesibilidad] para comprender cómo el malware obstruye las consultas legales o los intentos de eliminación».
Otro malware bancario de Android
El descubrimiento de ToxicPanda también sigue a un informe de Netcraft que detalla otro malware bancario de Android llamado HookBot (también conocido como Hook) que también explota los servicios de accesibilidad de Android para realizar ataques de superposición con el fin de mostrar páginas de inicio de sesión falsas sobre aplicaciones bancarias legítimas y robar credenciales u otros datos personales.
Entre las instituciones más populares que han sido blanco de ataques con malware se encuentran Airbnb, Bank of Queensland, Citibank, Coinbase, PayPal, Tesco y Transferwise, entre otras. Además de recolectar datos confidenciales, una característica notable del troyano es su capacidad de propagarse como un gusano enviando enlaces a aplicaciones infectadas con malware a través de mensajes de WhatsApp.
«HookBot también puede registrar las pulsaciones de teclas y capturar capturas de pantalla para robar datos confidenciales mientras el usuario interactúa con su dispositivo», dijo la compañía . «También puede interceptar mensajes SMS, incluidos los utilizados para la autenticación de dos factores (2FA), lo que permite a los actores de amenazas obtener acceso completo a las cuentas de la víctima».
HookBot se ofrece a la venta en Telegram a otros actores criminales bajo un modelo de malware como servicio (MaaS), con un costo que va desde $80 por una suscripción semanal hasta $640 por seis meses. También viene con un generador que permite a los clientes generar nuevas muestras de malware y crear aplicaciones de descarga.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.