A ottobre 2024, il team di Cleafy, nota azienda che opera nello sviluppo di soluzioni di cybersicurezza, ha individuato un nuovo e pericoloso malware per dispositivi Android chiamato ToxicPanda, una minaccia che sottrae denaro dai conti correnti degli utenti eludendo le misure di sicurezza delle rispettive banche per effettuare prelievi non autorizzati. Nella fattispecie si tratta di un trojan RAT (Remote Access Trojan), il che significa che consente agli attaccanti di prendere il controllo del dispositivo infettato a distanza, con la possibilità di compiere operazioni senza che l’utente se ne accorga. L'indagine condotta da Cleafy ha portato all'individuazione di una botnet con oltre 1500 dispositivi infetti in Italia, Portogallo, Spagna e America Latina, che ha preso di mira 16 istituti bancari. Per difendersi da questo malware, bisogna installare app solo da fonti verificate (come il Play Store di Google) e mantenere aggiornato il sistema operativo del telefono installando le ultime patch di sicurezza disponibili.
Cosa può fare ToxicPanda e perchè è pericoloso
ToxicPanda si distingue per una pericolosa capacità di adattamento: può infatti abusare dei servizi di accessibilità del dispositivo Android per ottenere autorizzazioni elevate e manipolare interazioni con altre app. Questo gli consente, ad esempio, di intercettare password monouso, i cosiddetti OTP (One Time Password), comunemente d'uso per il completamento di varie operazioni bancarie, come disposizione di bonifici, acquisto di strumenti finanziari, etc. In una nota ufficiale, infatti, il team di Cleafy spiega:
L'obiettivo primario di ToxicPanda è avviare spostamenti di denaro da dispositivi compromessi tramite account takeover (ATO) utilizzando una tecnica ben conosciuta chiamata On-Device fraud (ODF). Punta a bypassare le contromisure bancarie utilizzate per imporre la verifica e l'autenticazione dell'identità degli utenti, combinate con tecniche di rilevamento comportamentale applicate dalle banche per identificare trasferimenti di denaro sospetti.
Cleafy ha rilevato che la campagna di infezione ha colpito duramente l'Italia, dove si trovano oltre la metà dei dispositivi infettati (ben il 56,8%), seguita da Paesi come Spagna, Portogallo, Francia e Perù. Questo suggerisce un’espansione geografica del malware che punta a nuovi territori, come l'America Latina, oltre a quelli europei.
Come si propaga ToxicPanda e perché è difficile individuarlo
Il malware si propaga basandosi su tecniche di offuscamento del codice, per cui risulta di difficile individuazione da parte degli antivirus. Utilizza infatti strategie che rendono arduo per i ricercatori identificare con una certa sicurezza le sue funzioni, in quanto maschera il proprio codice e si nasconde tra le app del dispositivo. A supporto dell’inganno, i cybercriminali hanno utilizzato icone ingannevoli, come quelle di Google Chrome o di app di dating, per confondere gli utenti e aumentare le probabilità di installazione.
Il punto di forza di ToxicPanda risiede nella sua semplicità operativa: sfrutta strumenti di controllo remoto per effettuare operazioni bancarie dirette, evitando di richiedere il coinvolgimento di sviluppatori altamente qualificati. Questo approccio consente agli aggressori di ridurre i costi e ampliare la gamma di utenti potenzialmente colpiti, poiché qualsiasi cliente bancario potrebbe diventare vittima del malware. Inoltre, le autorità e i team anti-frode delle banche trovano difficile individuare questi attacchi, dato che le operazioni partono direttamente dal dispositivo della vittima, bypassando le tradizionali contromisure di sicurezza comportamentale.
Una caratteristica interessante del malware è la capacità di accedere agli album fotografici del telefono e di trasmettere le immagini al server di comando e controllo (C2), dopo averle convertite in formato BASE64. Questa tecnica, già osservata con altri malware come TrickMo, consente ai criminali di raccogliere dati sensibili, come screenshot di credenziali di accesso o carte virtuali, aumentando la quantità di informazioni potenzialmente sfruttabili a danno delle malcapitate vittime.
Come difendersi da ToxicPanda
Per difendersi da ToxicPanda è fondamentale adottare alcune precauzioni, che vi elenchiamo di seguito.
- Installate app solo da fonti verificate: se possibile, installate le applicazioni solo dal Play Store, dal Huawei AppGallery o, comunque, dallo store ufficiale disponibile sul vostro dispositivo. Inoltre, diffidate dalle app che richiedono permessi anomali, come l’accesso ai servizi di accessibilità.
- Aggiornate il sistema operativo: le patch di sicurezza che vengono rilasciate dal produttore del vostro telefono, talvolta contengono correzioni di falle di sicurezza.
- Usate l'autenticazione a due fattori: anche se ToxicPanda può tecnicamente intercettare i codici OTP, accertatevi di aver attivato l'autenticazione a due fattori (2FA) su tutti i servizi che la supportano, in modo da aggiungere un ulteriore livello di sicurezza ai vostri account.