Em outubro de 2024, a equipa de Inteligência de Ameaças da Cleafy identificou um novo malware, trojan para Android designado por ToxicPanda, inicialmente associada ao TgToxic, uma família de trojans bancários disseminados no Sudeste Asiático.
Contudo, análises subsequentes revelaram diferenças significativas na forma de comportamento, o que levou os investigadores a aprofundar a sua investigação.
O objetivo principal do ToxicPanda é realizar transferências de dinheiro a partir de dispositivos infetados através da técnica de Account Takeover (ATO), utilizando uma abordagem conhecida como On-Device Fraud (ODF).
Esta técnica visa contornar as medidas de segurança dos bancos que permitem verificar a identidade do utilizador e detetar transações suspeitas.
Risco do ToxicPanda
Durante as investigações iniciais, a equipa da Cleafy identificou um botnet ativo em mais de 1.500 dispositivos Android. Estes dispositivos estavam localizados principalmente em Itália, Portugal, Espanha e países da América Latina, e o malware visava 16 instituições bancárias.
Embora compartilhe algumas semelhanças com o TgToxic, o ToxicPanda apresenta um código significativamente diferente e uma abordagem de ataque distinta, o que sugere que o desenvolvimento ainda está numa fase inicial.
O código contém comandos que ainda não foram implementados, funcionando como marcadores de funcionalidades futuras.
A Mudança de Foco Geográfico
Uma das descobertas mais notáveis sobre o ToxicPanda é que os atacantes parecem ser falar o idioma chinês. Historicamente, é raro que grupos cibercriminosos oriundos desta zona geográfica direcionem ataques para regiões como a Europa e a América Latina, indicando uma possível mudança ou expansão na sua forma de atuação.
Análise Técnica do Malware
O ToxicPanda pertence à nova geração de malware móvel do tipo RAT (Remote Access Trojan), que permite o controlo remoto de dispositivos comprometidos. Abaixo, exploramos algumas das principais características técnicas do malware:
1. Abuso de Serviços de Acessibilidade
Uma das táticas mais utilizadas pelo ToxicPanda é o abuso dos serviços de acessibilidade do Android. Ao explorar esta funcionalidade, o malware consegue:
- Conceder permissões elevadas sem o conhecimento do utilizador.
- Manipular entradas de utilizador, facilitando o roubo de credenciais.
- Capturar informações sensíveis de outras aplicações, incluindo aplicações bancárias.
Esta capacidade de manipulação torna o ToxicPanda particularmente eficaz em fraudes bancárias, permitindo aos atacantes realizar transferências de dinheiro diretamente do dispositivo da vítima.
2. Acesso Remoto
O ToxicPanda permite o acesso remoto do dispositivo comprometido, possibilitando aos atacantes executar ações como:
- Iniciar transações financeiras.
- Modificar configurações de contas bancárias.
- Roubar informações pessoais e credenciais de acesso.
Através destas capacidades, o malware pode realizar ataques de On-Device Fraud (ODF), uma técnica perigosa em que os atacantes executam fraudes diretamente a partir do dispositivo da vítima, dificultando a deteção por parte dos sistemas de segurança dos bancos.
3. Interceptação de OTPs
Uma característica chave do ToxicPanda é a sua capacidade de interceptar senhas de uso único (OTPs) enviadas via SMS ou geradas por aplicações de autenticação. Esta capacidade permite aos atacantes contornar medidas de autenticação de dois fatores (2FA), facilitando a execução de transações fraudulentas.
4. Técnicas de Ofuscação
O ToxicPanda emprega várias técnicas de ofuscação para evitar a deteção por software de segurança. O código do malware é intencionalmente escondido, dificultando a sua análise por parte dos investigadores de segurança. No entanto, as mudanças na ofuscação ao longo do tempo sugerem que os desenvolvedores ainda estão a aprimorar estas técnicas.
Distribuição Geográfica e Alvos
A campanha do ToxicPanda foi mais intensa em Itália, que representou cerca de 56,8% dos dispositivos infectados. Portugal foi o segundo país mais afetado, com 18,7% dos dispositivos comprometidos, indicando um foco secundário na Europa. Outras regiões afetadas incluíram Hong Kong, Espanha e Peru.
Esta distribuição geográfica aponta para uma expansão da operação , com indícios de um movimento em direção à América Latina. O foco em diferentes regiões sugere uma adaptação dos atacantes a novos mercados, possivelmente em resposta às medidas de segurança reforçadas nos mercados tradicionais.
Implicações para a Segurança Cibernética
A emergência do ToxicPanda destaca a crescente sofisticação das ameaças de malware para dispositivos móveis. O fato de o malware ainda estar em desenvolvimento sugere que estamos a ver apenas a fase inicial de uma campanha potencialmente mais abrangente e perigosa.
Os principais desafios para a detecção do ToxicPanda incluem:
- Evasão de Segurança: As técnicas de ofuscação e o abuso dos serviços de acessibilidade dificultam a deteção do malware por software antivírus tradicional.
- Foco Operacional: Ao invés de desenvolver capacidades técnicas avançadas, os atacantes parecem focar-se na adaptação às especificidades regionais e na manipulação manual das fraudes, aproveitando as brechas nos sistemas de segurança locais.
- Inexperiência e Adaptação: A presença de código não implementado e funções mal desenvolvidas indica uma falta de familiaridade dos atacantes com os mercados estrangeiros e as suas regulamentações.
Como prevenir o ataques do ToxicPanda?
O ToxicPanda foi identificado em lojas de apps não oficiais da Google, mascarando-se em aplicações modificadas e com os logotipos oficiais de apps conhecidas, como o Google Chrome, Visa, Mastercard, Tinder, Grindr e apps de bancos.
A forma melhor de proteção passa por utilizar apenas a loja de apps oficial de Google (Google PlayStore) e não clicar em links de sms ou mails suspeitos.
Se detetar alguma transação suspeita avise de imediato o seu banco de forma a lhe ajudarem em quais os procedimentos adoptar.
Conclusão
O ToxicPanda representa uma ameaça emergente no panorama dos trojans bancários para dispositivos móveis. Este malware já conseguiu comprometer um número significativo de dispositivos em vários países, com um foco especial na Europa e na América Latina.
A análise deste malware sugere que os atacantes estão a expandir o seu alcance geográfico, adaptando-se a novos contextos operacionais e explorando lacunas nas defesas regionais.
Para os bancos e instituições financeiras, a emergência de malwares como o ToxicPanda sublinha a necessidade de estratégias de defesa mais robustas e proativas.
Em vez de depender exclusivamente de sistemas de deteção reativos, é crucial implementar um sistema de “Alerta Antecipado” que permita a monitorização contínua de aplicações suspeitas e a rápida mitigação de ameaças antes que estas possam escalar.
A expansão dos atacantes de lingua chinesa para novos mercados representa um desafio adicional para a segurança cibernética mundial.
À medida que o panorama das ameaças evolui, é essencial que as equipas de segurança se adaptem e implementem medidas de defesa inovadoras para lidar com estas novas e complexas ameaças.
Quanto aos utilizadores quotidianos a melhor proteção passa por manter boas práticas aquando da utilização do seu telefone Android, de forma a proteger as suas finanças pessoais.
