Un nuovo malware bancario, chiamato ToxicPanda, ha infettato oltre 1.500 dispositivi Android, consentendo agli attori malevoli di eseguire transazioni bancarie fraudolente.
“ToxicPanda è l’ennesima minaccia sviluppata per il settore bancario mobile, da sempre oggetto di interesse da parte della criminalità informatica”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
“Nella mia esperienza in ambito di perizia informatica”, sottolinea Paolo Dal Checco, consulente informatico forense e Ceo della società Forenser, mi sono imbattuto in decine di casi nei quali le vittime di banking malware hanno fatto causa alla banca per ottenere il rimborso delle somme indebitamente sottratte tramite bonifici fraudolenti. Il fenomeno è in crescita“.
La maggior parte delle compromissioni è stata segnalata in Italia (56,8%), seguita da Portogallo (18,7%), Hong Kong (4,6%), Spagna (3,9%) e Perù (3,4%).
Pare che ToxicPanda sia opera di un attore di lingua cinese. “Ritengo allarmante la diffusione in Europa di questo malware, la cui genesi parrebbe essere cinese”, conferma Paganini: “Interessante l’osservazione dei ricercatori di Cleafy, secondo i quali non è comune osservare gruppi criminali di origine cinese che specializzano le proprie operazioni contro utenti e banche in Europa e LATAM”.
Il malware condivide somiglianze in elementi fondamentali con un altro malware Android, TgToxic. Quest’ultimo, secondo Trend Micro che lo ha rilevato all’inizio del 2023, è in grado di rubare credenziali e fondi dai portafogli di criptovalute.
“Il trojan si distingue infatti per l’utilizzo di tecniche avanzate di On-Device Fraud (ODF) che gli consentono di prendere il controllo degli account delle vittime e trasferire denaro a loro insaputa“, mette in guardia Paganini.
“ToxicPanda mira ad aggirare le contromisure bancarie utilizzate per imporre la verifica e l’autenticazione dell’identità degli utenti, in combinazione con le tecniche di rilevamento comportamentale applicate dalle banche per identificare i trasferimenti di denaro sospetti”, hanno spiegato i ricercatori di Cleafy, Michele Roviello, Alessandro Strino e Federico Valentini in una recente analisi.
Il trojan bancario sembra agli albori. S tratta di una versione ridotta del suo antenato. Infatti ha rimosso il sistema di trasferimento automatico (ATS), l’Easyclick e le routine di offuscamento. Però ha anche introdotto 33 nuovi comandi per raccogliere un’ampia gamma di dati.
Inoltre, sono ben 61 i comandi comuni sia a TgToxic che a ToxicPanda. Dunque, dietro alla nuova famiglia di malware, si cela lo stesso attore delle minacce o i suoi stretti affiliati.
“Sebbene condivida alcune somiglianze di comandi bot con la famiglia TgToxic, il codice si discosta notevolmente dalla sua fonte originale”, hanno dichiarato i ricercatori. “Molte funzionalità caratteristiche di TgToxic sono notevolmente assenti e alcuni comandi appaiono come segnaposto senza una reale implementazione”.
Il malware si maschera da applicazioni popolari come Google Chrome, Visa e 99 Speedmart. Distribuito via pagine contraffatte che imitano le pagine degli app store, al momento non è noto come avvenga la diffusione di questi link e se coinvolgano tecniche di malvertising o smishing.
Una volta installato tramite sideloading, ToxicPanda abusa dei servizi di accessibilità di Android per ottenere permessi elevati, manipolare gli input dell’utente e acquisire dati da altre app. Può anche intercettare le one-time password (OTP) inviate via SMS o generate tramite app di autenticazione, consentendo così agli attori delle minacce di aggirare le protezioni di autenticazione a due fattori (2FA) e completare transazioni fraudolente.
Il malware, oltre al saper raccogliere informazioni, è pericoloso perché consente agli aggressori di controllare da remoto il dispositivo compromesso e di eseguire la cosiddetta ODF. Essa permette di avviare trasferimenti di denaro non autorizzati all’insaputa della vittima.
“Durante le consulenze informatiche forensi in ambito di truffe bancarie”, evidenzia Dal Checco, “ho potuto analizzare diversi banking trojan e studiarne il comportamento, taluni fungono direttamente da RAT (Remote Access Trojan) permettendo il controllo da remoto del dispositivo, altri s’insinuano nel sistema con funzionalità di Man in the browser, oppure intercettano le attività sulle app, permettendo talvolta soltanto di visionarne l’utilizzo, talvolta di poter interagire con le attività dell’utente”.
“Un banking trojan è infatti in grado d’intercettare tutti questi canali di comunicazione e verifica, perché una volta installatosi sul dispositivo può ottenerne il pieno controllo, potendo ricevere SMS con OTP di autenticazione 2FA, deviare le telefonate, leggere la posta elettronica, eccetera. E quindi può configurare la situazione ideale per un’impersonificazione totale dell’utente“, mette in guardia Dal Checco.
Cleafy ha infatti dichiarato di essere riuscita ad accedere al pannello di comando e controllo (C2) di ToxicPanda, un’interfaccia grafica presentata in cinese che consente agli operatori di visualizzare l’elenco dei dispositivi vittima. Comprese le informazioni sul modello e la posizione, e di rimuoverli dal cofano. Inoltre, il pannello funge da canale per richiedere l’accesso remoto in tempo reale a qualsiasi dispositivo per condurre l’ODF.
“Sebbene la minaccia sia ancora in piena evoluzione e manchi ancora di alcune sue componenti distintive, le sue caratteristiche tecniche e l’ampliamento dei confini geografici dell’operazione sono elementi che devono destare preoccupazione nella comunità internazionale di analisti“, conclude Paganini.
“ToxicPanda deve dimostrare capacità più avanzate e uniche che ne complicherebbero l’analisi”, hanno dichiarato i ricercatori. “Tuttavia, gli artefatti come le informazioni di log, il dead code e i file di debug suggeriscono che il malware potrebbe essere nelle prime fasi di sviluppo o in fase di refactoring del codice, in particolare date le sue somiglianze con TGToxic”, affermano i ricercatori.
“La banca può intensificare i controlli sull’integrità del sistema nel quale è installata l’app o comportamentali sulla tipologia di accessi e utilizzo del conto“, spiega Dal Checco, “in particolare se dovessero avvenire spostamenti di app da un dispositivo a un altro, oppure disabilitazione di funzioni di alerting, notifiche eccetera”.
“Gli istituti stanno andando verso questa direzione, pur rimanendo in diversi casi un po’ indietro e lasciando quindi aperto il campo ad attacchi di trojan bancari che purtroppo riescono nel loro intento svuotando interi conti correnti“, avverte il Ceo della società Forenser.
“Il fenomeno è in crescita, dato che gli istituti bancari sono sempre più attenti alla protezione dei loro clienti al punto da obbligarli a rigide procedure di accreditamento, configurazione o disposizione di bonifici che coinvolgono SMS, smartphone con App di autenticazione, email, talvolta anche la voce”, avverte Dal Checco.
Queste caratteristiche dimostrano che la miglior arma di difesa è la consapevolezza, oltre a una buona routine di cyber igiene: mantenere i sistemi aggiornati e non scaricare app e software fuori dai marketplace ufficiali.
“I consigli per tutelarsi da questo tipo di minacce sono infatti di base quelli consolidati per la protezione da malware, cioè aggiornare i dispositivi e le app, non installare programmi al di fuori dei market ufficiali, fornirsi di antivirus, antimalware o firewall e configurarlo al meglio così da rilevare app non autorizzate a comunicare verso l’esterno”, ricorda Dal Checco.
“Nel caso specifico degli attacchi ai conti correnti che causano bonifici indesiderati, può essere importante anche un controllo incrociato con più dispositivi diversi delle attività bancarie, per esempio dopo aver disposto un bonifico è consigliabile verificarne l’esito su di un altro dispositivo, per esempio un PC, così da rilevare prontamente eventuali tentativi di ‘hijack’, cioè deviazione di bonifici verso IBAN dei criminali che diversi malware ormai sono in grado di fare senza che il correntista si accorga di nulla”, conclude Dal Checco.
Intanto un gruppo di ricercatori del Georgia Institute of Technology, della German International University e della Kyung Hee University ha rilasciato un dettagliato un servizio di analisi del malware backend chiamato DVa (acronimo di Detector of Victim-specific Accessibility) per segnalare che sfrutta le funzioni di accessibilità sui dispositivi Android.
“Utilizzando tracce di esecuzione dinamica, DVa utilizza inoltre una strategia di esecuzione simbolica guidata dai vettori di abuso per identificare e attribuire le routine di abuso alle vittime. Infine, DVa rileva i meccanismi di persistenza [accessibilità] per capire come il malware ostacola le interrogazioni legali o i tentativi di rimozione”, concludono i ricercatori.