Вредоносное ПО ToxicPanda атакует банки по всей Европе и Латинской Америке

В октябре 2024 года команда Cleafy’s Threat Intelligence обнаружила новую кампанию банковского трояна для Android, первоначально связанную с известной семьей вредоносных программ TgToxic. Однако после дальнейшего исследования стало ясно, что этот новый вредоносный код отличается от предыдущих, что побудило экспертов отслеживать его под именем ToxicPanda.

В своем недавнем отчете, аналитики объясняют, что ToxicPanda разработан для кражи денег с зараженных устройств, обходя при этом банковские меры безопасности.

Вредоносное ПО использует метод, называемый On-Device Fraud (ODF) или «Мошенничество на устройстве», который позволяет злоумышленникам захватить контроль над банковским счетом жертвы без ее сведения. Оно может обойти системы идентификации личности и поведенческого обнаружения, которые банки используют для определения подозрительной активности.

Исследователи объясняют, что ToxicPanda работает за счет эксплуатации служб доступности Android. Это позволяет ему получить контроль над устройством жертвы, перехватить одноразовые пароли (OTP) и совершать мошеннические банковские операции. Он также может скрывать свое присутствие на телефоне, что затрудняет его обнаружение антивирусным программным обеспечением.

Однако, отмечается в отчете, что вредоносное ПО все еще находится на ранней стадии разработки. Некоторые части его кода незавершены, включая команды, которые пока что ничего не делают.

Несмотря на это, ToxicPanda уже успела заразить более 1,500 устройств на Android в Италии, Португалии, Испании и Латинской Америке. Инфицированные устройства используются в атаках на 16 различных банковских учреждений.

Предполагается, что актеры угроз (AU), стоящие за ToxicPanda, говорят на китайском языке, что указывает на смену регионов, которые они целенаправленно атакуют.

Для китайскоязычных киберпреступников необычно сосредотачиваться на банковских мошенничествах в Европе и Латинской Америке. Исследователи предполагают, что это может указывать на возможные изменения в их операционной деятельности.

Хотя ToxicPanda не так продвинут, как некоторые другие банковские трояны, он имеет сходства с предыдущими вирусами, такими как TgToxic.

В отчете говорится, что разработчики вредоносного программного обеспечения, по всей видимости, впервые нацеливаются на финансовые учреждения за пределами своих родных регионов, что может объяснить его относительно простой код и ограниченный набор функций.

Распространение ToxicPanda было значительным, причем наибольшее число инфекций было зафиксировано в Италии, за которой следуют такие страны, как Португалия, Испания и Перу. Это широкое географическое распространение свидетельствует о том, что создатели вредоносного ПО расширяют свои цели, включая большее количество стран, особенно в Латинской Америке.

В заключение, ToxicPanda — это растущая угроза, которая подчеркивает возрастающую сложность мобильного банковского мошенничества. Несмотря на то, что вредоносное ПО все еще на стадии разработки, его быстрое распространение по многим регионам показывает, что киберпреступники все более сосредоточены на эксплуатации банковских систем во всем мире.