Ciberseguridad 360 | Malware ToxicPanda en Android ejecuta fraudes financieros

M�s de 1.500 dispositivos Android han sido infectados por una nueva cepa de malware bancario para Android llamada ToxicPanda que permite a los actores de amenazas realizar transacciones bancarias fraudulentas.

�El objetivo principal de ToxicPanda es iniciar transferencias de dinero desde dispositivos comprometidos a trav�s de la toma de control de cuentas (ATO) utilizando una t�cnica bien conocida llamada fraude en el dispositivo (ODF)�, afirmaron los investigadores de Cleafy Michele Roviello, Alessandro Strino y Federico Valentini en un an�lisis publicado el lunes.

�Su objetivo es eludir las contramedidas bancarias utilizadas para reforzar la verificaci�n de la identidad y la autenticaci�n de los usuarios, combinadas con t�cnicas de detecci�n del comportamiento aplicadas por los bancos para identificar transferencias de dinero sospechosas.�

Se cree que ToxicPanda es obra de un actor de amenazas de habla china, y el malware comparte similitudes fundacionales con otro malware para Android apodado TgToxic, que puede robar credenciales y fondos de monederos de criptomonedas. TgToxic fue documentado por Trend Micro a principios de 2023.

La mayor�a de los ataques se han registrado en Italia (56,8%), seguida de Portugal (18,7%), Hong Kong (4,6%), Espa�a (3,9%) y Per� (3,4%), lo que supone un caso poco frecuente de un actor de amenazas chino orquestando un plan fraudulento dirigido a usuarios de banca minorista en Europa y Am�rica Latina.

El troyano bancario tambi�n parece estar en su fase inicial. El an�lisis muestra que se trata de una versi�n reducida de su antecesor, eliminando las rutinas Automatic Transfer System (ATS), Easyclick y de ofuscaci�n, al tiempo que introduce 33 nuevos comandos propios para recopilar una amplia gama de datos.

Adem�s, se han encontrado hasta 61 comandos comunes a TgToxic y ToxicPanda, lo que indica que el mismo actor de amenazas o sus afiliados cercanos est�n detr�s de la nueva familia de malware.

�Aunque comparte algunas similitudes de comandos bot con la familia TgToxic, el c�digo diverge considerablemente de su fuente original�, afirman los investigadores. �Muchas capacidades caracter�sticas de TgToxic est�n notablemente ausentes, y algunos comandos aparecen como marcadores de posici�n sin implementaci�n real�.

El malware se hace pasar por aplicaciones populares como Google Chrome, Visa y 99 Speedmart, y se distribuye a trav�s de p�ginas falsificadas que imitan los listados de las tiendas de aplicaciones. Actualmente se desconoce c�mo se propagan estos enlaces y si implican t�cnicas de malvertising o smishing.

Una vez instalado mediante sideloading, ToxicPanda abusa de los servicios de accesibilidad de Android para obtener permisos elevados, manipular las entradas del usuario y capturar datos de otras aplicaciones. Tambi�n puede interceptar contrase�as de un solo uso (OTP) enviadas por SMS o generadas mediante aplicaciones de autenticaci�n, lo que permite a los autores de la amenaza eludir las protecciones de autenticaci�n de dos factores (2FA) y completar transacciones fraudulentas.

La principal funcionalidad del malware, adem�s de su capacidad para recopilar informaci�n, es permitir a los atacantes controlar remotamente el dispositivo infectado y realizar lo que se denomina ODF, que permite iniciar transferencias de dinero no autorizadas sin el conocimiento de la v�ctima.

Cleafy afirma que pudo acceder al panel de mando y control (C2) de ToxicPanda, una interfaz gr�fica presentada en chino que permite a los operadores ver la lista de dispositivos v�ctimas, incluida la informaci�n sobre el modelo y la ubicaci�n, y eliminarlos del cap�. Adem�s, el panel sirve de conducto para solicitar acceso remoto en tiempo real a cualquiera de los dispositivos para realizar ODF.

�ToxicPanda necesita demostrar capacidades m�s avanzadas y �nicas que complicar�an su an�lisis�, dijeron los investigadores. �Sin embargo, artefactos como informaci�n de registro, c�digo muerto y archivos de depuraci�n sugieren que el malware puede estar en sus primeras etapas de desarrollo o sometido a una amplia refactorizaci�n de c�digo, especialmente dadas sus similitudes con TGToxic.�

La noticia se produce cuando un grupo de investigadores del Instituto de Tecnolog�a de Georgia, la Universidad Internacional Alemana y la Universidad Kyung Hee detallan un servicio de an�lisis de malware backend llamado DVa -diminutivo de Detector de Accesibilidad Espec�fica de V�ctimas- para detectar malware que explota funciones de accesibilidad en dispositivos Android.

�Utilizando trazas de ejecuci�n din�micas, DVa utiliza adem�s una estrategia de ejecuci�n simb�lica guiada por vectores de abuso para identificar y atribuir rutinas de abuso a las v�ctimas�, explicaron. �Por �ltimo, DVa detecta mecanismos de persistencia [de accesibilidad] para comprender c�mo el malware obstruye las consultas legales o los intentos de eliminaci�n�.

Fuente: thehackernews