"ToxicPanda", trojan bancario che sta infettando numerosi dispositivi elettronici in Europa e America Latina, si sta diffondendo con grande rapidità in Italia, allo stato attuale delle cose il Paese in assoluto più colpito. L'allarme è stato lanciato dagli esperti di Cleafy, azienda che si occupa di sicurezza in ambito informatico: i cybercriminali, spiega il team di ricerca, hanno progettato ToxicPanda per aggirare le difese poste a protezione dei sistemi bancari e sottrarre denaro dal conto corrente delle vittime.
Il malware rientra nella categoria dei moderni Remote access trojan (RAT) e consente agli hacker, grazie alle sue capacità di accesso remoto, di prendere il controllo del profilo sfruttando la tecnica On Device Fraud, ovvero quella delle finte comunicazioni che sembrano provenire dal proprio istituto di credito. Una tecnica già nota nell'ambito della cybersecurity, in quanto già utilizzata da altri celebri trojan bancari come Medusa, Copybara o BingoMod.
Il team Threat Intelligence di Cleafy ha individuato questo malware verso la fine dello scorso mese di ottobre, quando c'è stato un picco di infezioni significativo. Inizialmente gli esperti erano convinti che si trattasse di una semplice evoluzione di TgToxic, un sistema di infezione già noto, tuttavia osservandone le caratteristiche si sono resi conto ben presto che pur avendo alcuni punti in comune coi comandi bot di quella famiglia di trojan, "il codice diverge notevolmente dalla sua fonte originale". ToxicPanda, che in sostanza fa storia a sé, è stato perfezionato con l'obiettivo di essere sfruttato per mettere in atto frodi finanziarie.
Il malware riesce a intercettare password one-time generate automaticamente o inviate via sms e ad accedere ai sistemi Android ottenendo autorizzazioni privilegiate per il controllo totale del dispositivo da remoto. Le sue caratteristiche gli consentono di mascherarsi con app in teoria "sicure" come quelle bancarie o Google Chrome, e a compiere transazioni che risultano legittime tanto agli istituti di credito quanto agli utenti. I cybercriminali, molto semplicemente, sfruttano la tecnica del sideloading, creando pagine di app false, e inducendo gli utenti a scaricare il trojan senza che se ne rendano conto. Per il momento gli analisti di Cleafy hanno identificato un mix di marchi noti tra cui Chrome, Visa o icone esca che ricordano le app di incontri.
Ad oggi ToxicPanda ha colpito più di 1.500 devices, soprattutto nel nostro Paese, dove si conta il 56,8% delle infezioni totali: a seguire Portogallo (18,7%), Hong Kong (4,6%), Spagna (3,9%) e Perù (3,4%). Il trojan si sta rapidamente diffondendo quindi anche in America Latina e in altri Paesi europei: per il momento sono stati presi di mira 16 differenti istituti bancari."Secondo le nostre scoperte, i Threat Actors dietro questa campagna malware sono probabilmente di madrelingua cinese, simili a quelli responsabili del TgToxic originale", spiegano gli esperti.
A preoccupare maggiormente è il fatto che ci siano ancora ampie possibilità di sviluppo:"In base al suo codice sorgente, ToxicPanda sembra chiaramente in una fase iniziale di sviluppo, con alcuni comandi che appaiono come 'segnaposto' senza avere ancora una vera
implementazione". Il consiglio è sempre quello di effettuare i download sempre direttamente dai siti più sicuri, evitando di scaricare app di terze parti, e di tenere aggiornati antivirus e sistemi di protezione dei dispositivi.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.
