Un nuovo virus attacca i conti correnti italiani: è ToxicPanda
ToxicPanda è un virus di nuova generazione, ancora non completamente sviluppato, che mira ad avere una massiccia diffusione in Italia per attaccare i conti online
Da Milano, dove ha sede l’azienda di cybersecurity Cleafy, arriva un alert specifico per il nostro Paese: c’è un nuovo malware per smartphone Android che sta attaccando i dispositivi italiani. E’ un trojan bancario, quindi mira dritto al conto corrente della vittima, ed è Made in China, cosa poco frequente tra i virus che circolano in Italia.
Nonostante derivi chiaramente da un altro trojan già noto, chiamato TgToxic, questo malware ha delle caratteristiche peculiari che hanno indotto i ricercatori a dargli un altro nome: ToxicPanda.
ToxicPanda: cosa sappiamo fino ad ora
Cleafy ritiene che ToxicPanda sia un virus derivato da TgToxic e che sia nelle prime fasi di sviluppo: nel suo codice, infatti, sono state trovate alcune linee che fanno riferimento a funzioni e comandi ancora da implementare.
A differenza di TgToxic, che mira soprattutto a violare i wallet di criptovalute degli utenti del sud est asiatico, ToxicPanda sembra specializzato nell’attacco dei conti correnti tradizionali e, in particolare, di quelli italiani. Il 56,8% degli smartphone infetti già scoperti, infatti, si trova in Italia ed è settato in lingua italiana.
Perché ToxicPanda è pericoloso
Per alcuni versi ToxicPanda è meno pericoloso di altri trojan bancari, ma per altri versi è vero l’esatto contrario. I ricercatori hanno scoperto meccanismi di offuscamento meno evoluti rispetto ad esempio a TgToxic, il malware di nuova generazione è meno capace di nascondersi nel telefono e di non farsi scoprire da eventuali antivirus.
Tuttavia, questa semplificazione del codice sembrerebbe qualcosa di ricercato, al fine di rendere l’uso di ToxicPanda più facile anche agli hacker meno esperti. Il motivo di tutto ciò va cercato nel funzionamento del mercato attuale dei virus informatici.
Oggi, infatti, va per la maggiore il “malware-as-a-service“, cioè il virus chiavi in mano a canone mensile: chi sviluppa un malware lo piazza poi sul dark web a coloro che sono disposti a pagare un tot al mese per usarlo, sperando di guadagnarci più di quanto hanno speso. Un virus più semplice da comandare da remoto, quindi, si “vende” meglio di uno più potente ma più difficile.
Se questo aspetto di ToxicPanda non verrà modificato in futuro, quindi, possiamo aspettarci una sua diffusione massiccia in Italia nel giro di pochi mesi.
In ogni caso, ToxicPanda resta un malware sufficientemente pericoloso da impensierire gli esperti: ha tutte le classiche funzioni di un trojan bancario, grazie al fatto che chiede le stesse autorizzazioni in fase di installazione (tramite la classica app infetta).
In particolare, anche ToxicPanda chiede il permesso di usare gli ormai famigerati “servizi di accessibilità” che, in teoria, dovrebbero servire a creare app per i disabili ma, in pratica, nella stragrande maggioranza dei casi vengono usate da applicazioni malevole.
Una volta ottenute le autorizzazioni, quindi ToxicPanda può leggere tutto il contenuto dello smartphone e inviare copie dei file (immagini e screenshot compresi) al server di comando e controllo degli hacker.
Può anche leggere lo schermo in tempo reale e intercettare i codici di sicurezza OTP inviati dalle banche per autorizzare i bonifici e i pagamenti online.
In questo modo, quindi, può comunicare agli hacker che gestiscono il suo server tutti i dati necessari ad entrare in un conto corrente e a svuotarlo.
Come difendersi da ToxicPanda
ToxicPanda, al momento, viene distribuito tramite cloni di app di dating, ma anche di app diffusissime (persino cloni di Chrome). Alcune delle app infette, e fake, scoperte da Cleafy sono le seguenti:
- Honey Peach
- Amore Live
- 99 Spedmart
- MindMate
- eporner
- Chrome
- Braided girl
- SK-II
Tuttavia, essendo all’inizio del suo ciclo, ToxicPanda verrà verosimilmente distribuito in futuro tramite molte più app. Per questo motivo, visto anche che l’Italia è il Paese preso maggiormente di mira dai cybercriminali che tirano le fila di questo trojan, è bene tenere sin da subito gli occhi ben aperti.
La prima cosa da fare è evitare di scaricare app poco conosciute e, soprattutto, di farlo da store che non hanno una eccellente reputazione. Nemmeno il Play Store di Google è sicuro al 100%, figuriamoci gli store minori.
Poi c’è la raccomandazione più importante di tutte: leggete sempre, con attenzione, l’elenco delle autorizzazioni chieste da ogni app che installate. Se tra di esse c’è quella relativa ai servizi di accessibilità, allora è quasi certo che si tratta di un’app infetta o, comunque, in qualche modo pericolosa.
