M\u00e1s de 1.500 dispositivos Android han sido infectados por una nueva variedad de malware bancario para Android llamado ToxicPanda que permite a los actores de amenazas realizar transacciones bancarias fraudulentas.<\/p>\n
“El objetivo principal de ToxicPanda es iniciar transferencias de dinero desde dispositivos comprometidos mediante la apropiaci\u00f3n de cuentas (ATO) utilizando una t\u00e9cnica bien conocida llamada fraude en el dispositivo (ODF)”, los investigadores de Cleafy Michele Roviello, Alessandro Strino y Federico Valentini. dicho<\/a> en un an\u00e1lisis del lunes.<\/p>\n “Su objetivo es evitar las contramedidas bancarias utilizadas para imponer la verificaci\u00f3n y autenticaci\u00f3n de la identidad de los usuarios, combinadas con t\u00e9cnicas de detecci\u00f3n de comportamiento aplicadas por los bancos para identificar transferencias de dinero sospechosas”.<\/p>\n Se cree que ToxicPanda es obra de un actor de amenazas de habla china, y el malware comparte similitudes fundamentales con otro malware de Android denominado TgToxic, que puede robar credenciales y fondos de billeteras criptogr\u00e1ficas. TgToxic fue documentado por Trend Micro a principios de 2023.<\/p>\n La mayor\u00eda de los compromisos se han reportado en Italia (56,8%), seguida de Portugal (18,7%), Hong Kong (4,6%), Espa\u00f1a (3,9%) y Per\u00fa (3,4%), lo que marca un raro caso de un gobierno chino. Actor de amenazas que orquesta un plan fraudulento dirigido a usuarios de banca minorista en Europa y Am\u00e9rica Latina.<\/p>\n El troyano bancario tambi\u00e9n parece estar en su fase inicial. El an\u00e1lisis muestra que es una versi\u00f3n simplificada de su antecesor, que elimina el Sistema de transferencia autom\u00e1tica (ATS), Easyclick y las rutinas de ofuscaci\u00f3n, al tiempo que introduce 33 nuevos comandos propios para recopilar una amplia gama de datos.<\/p>\n Adem\u00e1s, se ha descubierto que hasta 61 comandos son comunes tanto para TgToxic como para ToxicPanda, lo que indica que el mismo actor de amenazas o sus afiliados cercanos est\u00e1n detr\u00e1s de la nueva familia de malware.<\/p>\n “Si bien comparte algunas similitudes con los comandos de bots de la familia TgToxic, el c\u00f3digo difiere considerablemente de su fuente original”, dijeron los investigadores. “Muchas capacidades caracter\u00edsticas de TgToxic est\u00e1n notablemente ausentes, y algunos comandos aparecen como marcadores de posici\u00f3n sin una implementaci\u00f3n real”.<\/p>\n El malware se hace pasar por aplicaciones populares como Google Chrome, Visa y 99 Speedmart, y se distribuye a trav\u00e9s de p\u00e1ginas falsificadas que imitan las p\u00e1ginas de listas de tiendas de aplicaciones. Actualmente no se sabe c\u00f3mo se propagan estos enlaces y si implican t\u00e9cnicas de publicidad maliciosa o smishing.<\/p>\n Una vez instalado mediante descarga lateral, ToxicPanda abusa de los servicios de accesibilidad de Android para obtener permisos elevados, manipular las entradas de los usuarios y capturar datos de otras aplicaciones. Tambi\u00e9n puede interceptar contrase\u00f1as de un solo uso (OTP) enviadas por SMS o generadas mediante aplicaciones de autenticaci\u00f3n, lo que permite a los actores de amenazas eludir las protecciones de autenticaci\u00f3n de dos factores (2FA) y completar transacciones fraudulentas.<\/p>\n La funcionalidad principal del malware, adem\u00e1s de su capacidad de recopilar informaci\u00f3n, es permitir a los atacantes controlar remotamente el dispositivo comprometido y realizar lo que se llama ODF<\/a>lo que permite iniciar transferencias de dinero no autorizadas sin el conocimiento de la v\u00edctima.<\/p>\n Cleafy dijo que pudo obtener acceso al panel de comando y control (C2) de ToxicPanda, una interfaz gr\u00e1fica presentada en chino que permite a los operadores ver la lista de dispositivos v\u00edctimas, incluida la informaci\u00f3n del modelo y la ubicaci\u00f3n, y eliminarlos de el cap\u00f3. Adem\u00e1s, el panel sirve como conducto para solicitar acceso remoto en tiempo real a cualquiera de los dispositivos para realizar ODF.<\/p>\n “ToxicPanda necesita demostrar capacidades m\u00e1s avanzadas y \u00fanicas que complicar\u00edan su an\u00e1lisis”, dijeron los investigadores. “Sin embargo, artefactos como informaci\u00f3n de registro, c\u00f3digo inactivo y archivos de depuraci\u00f3n sugieren que el malware puede estar en sus primeras etapas de desarrollo o en una extensa refactorizaci\u00f3n de c\u00f3digo, particularmente dadas sus similitudes con TGToxic”.<\/p>\n El desarrollo se debe a un grupo de investigadores del Instituto de Tecnolog\u00eda de Georgia, la Universidad Internacional Alemana y la Universidad Kyung Hee. detallado<\/a> un servicio de an\u00e1lisis de malware backend llamado DVA<\/a> (abreviatura de Detector de accesibilidad espec\u00edfica de las v\u00edctimas) para se\u00f1alar malware que explota funciones de accesibilidad en dispositivos Android.<\/p>\n “Utilizando seguimientos de ejecuci\u00f3n din\u00e1micos, DVa utiliza adem\u00e1s una estrategia de ejecuci\u00f3n simb\u00f3lica guiada por vectores de abuso para identificar y atribuir rutinas de abuso a las v\u00edctimas”, dijeron. “Finalmente, DVa detecta [accessibility]-Mecanismos de persistencia potenciados para comprender c\u00f3mo el malware obstruye las consultas legales o los intentos de eliminaci\u00f3n”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/El-nuevo-malware-bancario-para-Android-ToxicPanda-se-dirige-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n