I ricercatori di Cleafy hanno individuato l’ennesimo trojan bancario per Android. ToxicPanda, scoperto a fine ottobre, ha già infettato oltre 1.500 dispositivi, la maggioranza dei quali si trova in Italia. L’obiettivo dei cybercriminali è ovviamente accedere ai conti correnti e rubare il denaro delle ignare vittime.
Pericoloso erede di TgToxic
Gli esperti di Cleafy (società italiana con sede a Milano) hanno notato un aumento degli attacchi con un malware simile a TgToxic. Analizzando il codice hanno trovato alcune similitudini, ma anche molte differenze, quindi è stato scelto il nome di ToxicPanda. Come il parente diretto è stato sviluppato da cybercriminali cinesi.
Il trojan viene distribuito principalmente tramite app store alternativi (sideloading). Gli utenti sono ingannati dalle icone utilizzate che sembrano quelle di Chrome, Visa o altre app popolari. Come altri simili malware, anche ToxicPanda sfrutta i servizi di accessibilità per ottenere privilegi elevati ed eseguire varie azioni sul dispositivo. Le funzionalità consentono di modificare le impostazioni dell’account, avviare transazioni e intercettare i codici inviati via SMS o generati dalle app di autenticazione.
I cybercriminali possono accedere ai conti correnti di 16 istituti bancari e trasferire fino a 10.000 euro alla volta. I dispositivi infettati sono oltre 1.500. Il 56,8% di essi si trova in Italia. Seguono Portogallo, Hong Kong, Spagna e Perù. Anche se nelle prime fasi di sviluppo, ToxicPanda è già molto pericoloso.
Gli utenti devono prestare molta attenzione alle app distribuite fuori dal Google Play Store e al permesso di usare i servizi di accessibilità. Google Play Protect dovrebbe rilevare e bloccare questo tipo di malware.