O Malware ToxicPanda Afeta Bancos em Toda a Europa e América Latina

Em outubro de 2024, a equipe de Inteligência de Ameaças da Cleafy descobriu uma nova campanha de Trojan bancário para Android, inicialmente vinculada à conhecida família de malwares TgToxic. No entanto, após uma investigação mais aprofundada, ficou claro que este novo malware era diferente, levando os especialistas a rastreá-lo sob o nome ToxicPanda.

Em seu relatório recente, os analistas explicam que o ToxicPanda é projetado para roubar dinheiro de dispositivos comprometidos, contornando as medidas de segurança bancária.

O malware utiliza uma técnica chamada Fraude no Dispositivo (ODF), que permite aos invasores assumir o controle da conta bancária de uma vítima sem o conhecimento da mesma. Ele pode contornar os sistemas de verificação de identidade e detecção de comportamento que os bancos usam para sinalizar atividades suspeitas.

Os pesquisadores explicam que o ToxicPanda funciona explorando os serviços de acessibilidade do Android. Isso permite que ele assuma o controle do dispositivo de uma vítima, intercepte senhas de uso único (OTPs) e realize transações bancárias fraudulentas. Ele também pode esconder sua presença no telefone, tornando mais difícil para o software antivírus detectá-lo.

No entanto, o relatório observa que o malware ainda está em estágio inicial de desenvolvimento. Algumas partes do seu código estão incompletas, com comandos que ainda não fazem nada.

Apesar disso, o ToxicPanda já conseguiu infectar mais de 1.500 dispositivos Android em toda a Itália, Portugal, Espanha e América Latina. Esses dispositivos infectados estão sendo usados em ataques a 16 diferentes instituições bancárias.

Os atores de ameaças (TAs) por trás do ToxicPanda são suspeitos de serem falantes de chinês, marcando uma mudança nas regiões que eles visam.

É incomum que os cibercriminosos que falam chinês se concentrem em fraudes bancárias na Europa e na América Latina. Os pesquisadores sugerem que isso pode indicar uma possível mudança em seu foco operacional.

Embora o ToxicPanda não seja tão avançado quanto alguns outros trojans bancários, ele compartilha semelhanças com malwares anteriores como o TgToxic.

O relatório sugere que os desenvolvedores do malware parecem ser novatos em atacar instituições financeiras fora de suas regiões de origem, o que pode explicar seu código um tanto básico e recursos limitados.

A propagação do ToxicPanda tem sido significativa, com a Itália vendo o maior número de infecções, seguida por países como Portugal, Espanha e Peru. Este amplo alcance geográfico sinaliza que os criadores de malware estão expandindo seus alvos para incluir mais países, especialmente na América Latina.

Em conclusão, o ToxicPanda é uma ameaça crescente que destaca o aumento da sofisticação da fraude bancária móvel. Embora o malware ainda esteja em desenvolvimento, sua rápida propagação por várias regiões mostra que os cibercriminosos estão se tornando mais focados em explorar sistemas bancários em todo o mundo.