In Italia si segnala la presenza di un nuovo trojan bancario denominato “ToxicPanda”, ma che cos’è e come agisce?
Degli esperti di sicurezza hanno recentemente individuato un nuovo trojan bancario per Android, chiamato ToxicPanda. Ma che cos’è?
Quest’ultimo viene diffuso grazie a delle tecniche di side-loading – quindi l’istallazione da parte degli utenti di app da fonti esterne rispetto a quelle ufficiali – tramite Social Engineering.
Il malware in questione è stato spinto verso l’Asia e l’Europa. Oltre a ciò si registra che siano stati colpiti anche utenti italiani e che sia stata compromessa la sicurezza dei dati bancari nei loro dispositivi.
In tal caso si ritiene necessario mettere in chiaro che cosa sia effettivamente questo nuovo malware bancario e che cosa sia in grado di fare ai dati privati presenti sui nostri dispositivi.
Dei ricercatori di sicurezza di Claefy hanno reso pubblico un report che riporta in maniera esaustiva quanto concerne il nuovo malware chiamato ToxicPanda. Essi hanno spiegato che quest’ultimo sarebbe un malware che punta a sottrarre credenziali bancarie e dati sensibili degli utenti. Esso agisce attraverso il side-loading via Social Engineering. In questo caso, gli aggressori inviano dei link tramite email, SMS o altre applicazioni di messaggistica nel quale si pubblicizza un’app e la vittima è invitata ad installarla cliccando sul link inviato. Le applicazioni in questione sembrano ufficiali, ma in realtà si tratta di app ingannevoli che sono fondamentali per entrare ufficialmente nel dispositivo della vittima e averne il controllo. Si tratta di app clonate che hanno lo scopo di far credere agli utenti di star installando un’applicazione innocua e ufficiale. Tuttavia, l’installazione viene effettuata tramite app store di siti terzi e spesso è anche a pagamento.
In questo modo, viene sfruttata la tecnica di frode bancaria On-Device Fraud (ODF). Essa si basa sulla contaminazione del dispositivo per riuscire a mettere in atto una vera e propria frode tramite delle transazioni. Normalmente, per effettuare dei pagamenti, è necessario superare delle misure di sicurezza che predispone la banca stessa. Tuttavia, questa tipologia di frode è in grado di raggirare tali sistemi e riesce ad avere il controllo totale del dispositivo. Nello specifico, il malware sfrutta i servizi di accessibilità di Android per ottenere permessi elevati, manipolare l’input e quindi rubare dati, soprattutto da app bancarie. Successivamente, consente il controllo remoto del dispositivo, eseguendo transazioni e modifiche senza servirsi dell’utente. Esso intercetta le password monouso (OTP) per scavalcare l’autenticazione a due fattori e, infine, utilizza tecniche di offuscamento per evitare di essere rilevati. Al momento, il malware è riuscito ad entrare in oltre 1500 dispositivi, di cui il 50% sarebbero italiani.
Gli utenti possono fronteggiare una situazione del genere facendo particolare attenzione ad installare applicazioni unicamente tramite app store ufficiali ed evitare in maniera scrupolosa siti terzi di dubbia origine. Si può dare un occhio anche alle recensioni che possono indicare l’autenticità dell’applicazione in questione.
Oltre a ciò, è necessario verificare le autorizzazioni richieste dall’app stessa ed evitare quelle che sembrano non coerenti con le funzionalità dell’app. Infine, è sempre consigliato mantenere il sistema operativo e le app aggiornate per evitare in qualsiasi modo che siano deboli.