El malware bancario y los caballos de Troya son software malicioso diseñado para robar información financiera confidencial de los usuarios. Una vez instalados, estos troyanos utilizan técnicas como el registro de teclas y superposiciones de pantalla para recopilar información de forma encubierta.
Los analistas de ciberseguridad de Clafy descubrieron recientemente que el malware bancario ToxicPanda ataca activamente a los usuarios de los bancos para robar inicios de sesión.
En octubre de 2024, se descubrió que 'ToxicPanda' era una evolución de 'TgToxic', pero con distintos cambios en su código.
Cree un SOC interno o subcontrate SOC como servicio -> Calcule el costo
Malware bancario ToxicPanda
Para llevar a cabo ataques ATO, esta RAT explota los servicios de accesibilidad de los dispositivos Android mediante la técnica “ODF”. Esto permite a los actores de amenazas controlar de forma remota los dispositivos infectados.
Las principales características que ofrece este malware son:
Interceptar contraseñas de un solo uso (OTP) Evitar la autenticación de dos factores (2FA) Usar técnicas de ofuscación para evitar la detección
Lo que hace notable a ToxicPanda es la inusual expansión de operadores de habla china en el ámbito del fraude bancario en Europa y América Latina.
Se han registrado más de 1.500 dispositivos infectados, de los cuales más del 50% están ubicados en Italia, seguida de Portugal, España, Francia y Perú.
Las tasas de infección son: –
Italia (56,8%) Portugal (18,7%) Hong Kong (4,6%) España (3,9%) Perú (3,4%)
La infraestructura del malware revela funciones avanzadas como “interceptación de SMS”, “control remoto de dispositivos” y la capacidad de “procesar transacciones fraudulentas de hasta 10.000 euros” con pagos instantáneos.
Además, carece de funcionalidad “ATS” y tiene “rutinas de ofuscación reducidas”. Esto indica que se introducirán regulaciones bancarias más estrictas, como PSD2, en nuevas regiones objetivo.
Íconos que parecen legítimos (Fuente – Clafy)
También utiliza una combinación de “íconos de apariencia legítima” de marcas conocidas como Google Chrome y VISA para engañar a los usuarios. La distribución se basa en la “descarga” mediante la “ingeniería social”. Para las comunicaciones, la infraestructura C2 emplea el servicio DNS chino (“114DNS”).
El troyano bancario ToxicPanda para Android emplea una estructura de comunicación C2 simple con tres dominios codificados:
dksu(.)mixcom superior(.)un básico gratuito(.)cn
Su infraestructura opera a través de una interfaz de “administración de máquinas” que monitorea el estado de los dispositivos comprometidos.
Según el informe de Clafy, el malware inicia la comunicación enviando una solicitud HTTPS con un prefijo de subdominio “ctrl”, seguido de la implementación del “protocolo WebSocket” para una comunicación bidireccional persistente.
Implementa “Cifrado AES” para seguridad en el modo “Libro de códigos electrónico” (“ECB”) utilizando una clave de cifrado codificada (“0623U2SKT3YY3QB9P”).
Página de inicio de sesión del panel C2 (Fuente – Clafy)
El panel de comando de la botnet es operado por un grupo de atacantes de habla china y permite “acceso remoto en tiempo real” a dispositivos infectados para realizar transacciones fraudulentas.
ToxicPanda no tiene funciones avanzadas como “DGA”, ya que mantiene la eficiencia operativa mediante el “comando setCommandStyle”.
Esto le permite realizar cambios remotos en el dominio C2. Cada dispositivo infectado se somete a un proceso de “inicio de sesión” mediante el envío de una “ID de dispositivo” única al servidor C2 para el “registro de botnet” y el “monitoreo”.
El servidor podrá entonces emitir comandos específicos basados en el “propósito de la campaña de fraude”. La arquitectura simple de este malware sugiere que se encuentra en “etapas tempranas de desarrollo” o en “modificación de código”.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
