El Malware ToxicPanda Ataca a Bancos en Toda Europa y América Latina

En octubre de 2024, el equipo de Inteligencia de Amenazas de Cleafy descubrió una nueva campaña de troyanos bancarios para Android, inicialmente vinculada a la conocida familia de malware TgToxic. Sin embargo, tras una investigación más profunda, quedó claro que este nuevo malware era diferente, lo que llevó a los expertos a seguirlo bajo el nombre de ToxicPanda.

En su informe reciente, los analistas explican que ToxicPanda está diseñado para robar dinero de los dispositivos comprometidos al eludir las medidas de seguridad bancaria.

El malware utiliza una técnica llamada Fraude en el Dispositivo (ODF, por sus siglas en inglés), que permite a los atacantes tomar control de la cuenta bancaria de una víctima sin que esta lo sepa. Puede eludir los sistemas de verificación de identidad y detección de comportamiento que los bancos utilizan para marcar actividades sospechosas.

Los investigadores explican que ToxicPanda funciona explotando los servicios de accesibilidad de Android. Esto le permite tomar control sobre el dispositivo de una víctima, interceptar contraseñas de un solo uso (OTP, por sus siglas en inglés), y llevar a cabo transacciones bancarias fraudulentas. También puede ocultar su presencia en el teléfono, lo que dificulta su detección por parte del software antivirus.

Sin embargo, el informe señala que el malware aún se encuentra en una etapa temprana de desarrollo. Algunas partes de su código están incompletas, con comandos que aún no hacen nada.

A pesar de esto, ToxicPanda ya ha logrado infectar a más de 1,500 dispositivos Android en Italia, Portugal, España y América Latina. Estos dispositivos infectados se están utilizando en ataques a 16 diferentes instituciones bancarias.

Se sospecha que los actores de amenazas (TAs) detrás de ToxicPanda son hablantes de chino, marcando un cambio en las regiones que apuntan.

Es poco común que los ciberdelincuentes de habla china se centren en el fraude bancario en Europa y América Latina. Los investigadores sugieren que esto podría indicar un cambio potencial en su enfoque operacional.

Aunque ToxicPanda no es tan avanzado como otros troyanos bancarios, comparte similitudes con malware anterior como TgToxic.

El informe sugiere que los desarrolladores del malware parecen ser nuevos en el objetivo de atacar a instituciones financieras fuera de sus regiones de origen, lo que podría explicar su código algo básico y sus características limitadas.

La expansión de ToxicPanda ha sido significativa, con Italia registrando el mayor número de infecciones, seguido de países como Portugal, España y Perú. Este amplio alcance geográfico señala que los creadores del malware están expandiendo sus objetivos para incluir más países, especialmente en América Latina.

En conclusión, ToxicPanda es una amenaza creciente que destaca el creciente sofisticación del fraude bancario móvil. Aunque el malware todavía está en desarrollo, su rápida propagación en múltiples regiones demuestra que los ciberdelincuentes se están enfocando más en explotar los sistemas bancarios a nivel mundial.