ToxicPanda: China se infiltra en el sistema bancario de Europa y América del Sur

En octubre de 2024, el equipo de Cleafy descubrió una nueva campaña maliciosa en Android, relacionada con el troyano bancario ToxicPanda, que se distingue de otro malware por su método de operación.

Inicialmente, los investigadores vincularon el malware con TgToxic, que se propagaba en el sudeste asiático, pero resultó que ToxicPanda tiene un código diferente y nuevas funciones, por lo que se identificó como un virus separado. La tarea principal de ToxicPanda es tomar el control del dispositivo para realizar transferencias bancarias mediante la técnica de Fraude en el Dispositivo (ODF). Esto permite que el troyano evada los sistemas de seguridad bancaria destinados a verificar la identidad del cliente.

Los expertos descubrieron que la botnet ToxicPanda ya ha infectado más de 1,500 dispositivos en países como Italia, Portugal, España y Perú. Italia es la región principal de ataque, donde está infectado alrededor del 57% de todos los dispositivos. Los ataques están dirigidos a 16 bancos. Se presume que los creadores del virus hablan chino, lo cual es inusual para ataques dirigidos a Europa y América Latina.

El virus se propaga mediante aplicaciones maliciosas que se hacen pasar por programas conocidos, como Google Chrome y Visa, o aplicaciones de citas. De esta forma, los delincuentes engañan a las personas para que instalen el troyano. Según el código fuente, el desarrollo está en una etapa temprana, algunas instrucciones en el código solo están marcadas como "vacías", sin implementación real.

Desde el punto de vista técnico, ToxicPanda tiene una serie de capacidades para ciberataques. El malware puede controlar el dispositivo de forma remota, acceder a contraseñas de un solo uso para eludir la autenticación de dos factores y ocultar su presencia mediante métodos avanzados de camuflaje. A diferencia de las versiones anteriores de TgToxic, ToxicPanda ha eliminado el sistema de transferencias automáticas, simplificando la estructura del virus.

Entre otras características de ToxicPanda se encuentran la capacidad de ocultar y bloquear el acceso a configuraciones del sistema, utilizar herramientas de seguridad y gestionar permisos. Estas funciones ayudan a ocultar el troyano en el dispositivo y dificultan su eliminación.

Los aspectos técnicos de la campaña confirman que el programa malicioso está enfocado en la interacción directa con los dispositivos infectados, proporcionando a los operadores capacidades para el control manual y la evasión de la protección bancaria. Además, el troyano graba y envía capturas de pantalla al servidor C2, lo que permite recopilar imágenes de pantalla con las credenciales de acceso a la aplicación bancaria.

La infraestructura del virus está configurada de manera que utiliza dominios codificados para conectarse con el servidor C2. Este mecanismo facilita el control de la botnet, pero reduce su flexibilidad en caso de que los dominios sean bloqueados. ToxicPanda también usa cifrado para proteger los datos transmitidos.

El acceso al panel de control de la botnet permitió al equipo de Cleafy comprender cómo los hackers controlan los dispositivos infectados y realizan operaciones fraudulentas. Esta información ayuda a los analistas a desarrollar medidas de contrarresto y prevenir la propagación del virus. ToxicPanda muestra que las amenazas a las aplicaciones bancarias en Europa y América Latina están creciendo y exige que las empresas refuercen la protección de los dispositivos móviles.