Sintesi

Ricercatori di sicurezza hanno recentemente rilevato la distribuzione, tramite tecniche di Side-loading via Social Engineering, di un nuovo trojan bancario per dispositivi Android, denominato ToxicPanda. Diffuso tipicamente in Asia, Europa, è stato rilevato l’interessamento anche di utenze localizzate sul territorio italiano.

Descrizione e potenziali impatti

Ricercatori di sicurezza di Cleafy hanno recentemente rilasciato un report dettagliato nel quale sono riportati i dettagli di un nuovo trojan bancario denominato ToxicPanda.

Secondo quanto riportato dai ricercatori, il malware ToxicPanda risulterebbe diffuso principalmente attraverso tecniche di Side-loading tramite Social Engineering: in questo scenario, gli attaccanti esortano le potenziali vittime (tramite link inviati via email, SMS o messaggi su piattaforme di messaggistica) a prelevare e installare app malevole opportunamente predisposte, apparentemente legittime.

Inoltre, altre modalità di distribuzione prevedono la pubblicazione su portali opportunamente predisposti di app clonate, apparentemente legittime: gli utenti vengono invogliati a prelevare queste app, tipicamente a pagamento, poiché pubblicizzate gratuitamente tramite fonti o store di app non ufficiali di terze parti.

Il malware utilizza la tecnica di frode bancaria denominata On-Device Fraud (ODF), che sfrutta il controllo diretto del dispositivo infetto al fine di eseguire transazioni fraudolente. A differenza di altre tecniche che richiedono l’intervento dell’utente o l’uso di credenziali rubate, l’ODF permette agli attaccanti di operare direttamente sul dispositivo compromesso, aggirando molte delle misure di sicurezza implementate dalle banche. Di seguito alcuni dettagli che caratterizzano tale tecnica:

• abuso dei servizi di accessibilità: il malware utilizza i servizi di accessibilità di Android per ottenere permessi elevati, manipolare l’input utente e carpire dati da altre app, focalizzandosi principalmente verso le applicazioni bancarie;
• capacità di controllo remoto: il codice permette il controllo remoto del dispositivo infetto, consentendo agli attaccanti di eseguire transazioni e modificare le impostazioni degli account senza che sia richiesta alcuna interazione utente;
• intercettazione degli OTP: il malware risulterebbe in grado di intercettare le password monouso (OTP) inviate via SMS o generate da app di autenticazione, bypassando così l’autenticazione a due fattori (2FA);
• tecniche di offuscamento: è stato rilevato che il software utilizza metodologie di offuscamento per evitare il rilevamento da parte dei meccanismi di sicurezza, rendendo inoltre difficile l’eventuale analisi del codice sorgente.

Dalle analisi risulterebbe che ToxicPanda è ancora in una fase iniziale del processo di sviluppo, ciò risulta evidenziato dal fatto che alcuni comandi presenti nel codice sorgente contengono dei segnaposto senza una reale implementazione.

Allo stato dell’arte, il malware risulta aver infettato ed aggiunto alla propria botnet oltre 1500 dispositivi: di tale botnet, il 50% dei device sembrerebbe riconducibile ad utenze italiane.

Per ulteriori approfondimenti si consiglia di consultare il report tecnico disponibile nella sezione Riferimenti.

Mitre ATT&CK

Azioni di Mitigazione

Gli utenti possono prevenire questa tipologia di infezioni installando software unicamente da store ufficiali, avendo comunque l’accortezza di visionare nelle recensioni la genuinità dell’applicazione.

Si consiglia inoltre di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) disponibili nel report di Cleafy.

Riferimenti

https://www.cleafy.com/cleafy-labs/toxicpanda-a-new-banking-trojan-from-asia-hit-europe-and-latam