Китайский вирус ToxicPanda представляет угрозу для банков в Европе и Латинской Америке

Китайский вирус ToxicPanda представляет угрозу для банков в Европе и Латинской Америке
Китайский вирус ToxicPanda представляет угрозу для банков в Европе и Латинской Америке
В октябре 2024 года команда Cleafy выявила новую вредоносную кампанию на Android, связанную с банковским трояном ToxicPanda, который отличается от других вредоносных программ своей методикой работы.

Изначально исследователи связали этот вредонос с TgToxic, который распространялся в Юго-Восточной Азии, но позже выяснили, что ToxicPanda использует другой код и обладает новыми функциями, что дало основание выделить его как отдельный вирус. Главная задача ToxicPanda — захватить контроль над устройством для проведения банковских переводов с помощью техники On-Device Fraud (ODF). Это позволяет трояну обходить системы безопасности банков, предназначенные для проверки личности клиента.

Эксперты отметили, что ботнет ToxicPanda уже заразил более 1500 устройств в таких странах, как Италия, Португалия, Испания и Перу. При этом Италия — основной регион атаки, где заражено около 57% всех устройств. Атаки направлены на 16 банков.

Предположительно, создатели вируса говорят на китайском, что является редкостью для атак, нацеленных на Европу и Латинскую Америку.

Вирус распространяется с помощью вредоносных приложений, которые маскируются под известные программы, например, Google Chrome и Visa, или под приложения для знакомств. Таким образом злоумышленники обманом заставляют людей устанавливать троян. Судя по исходному коду, разработка находится на ранней стадии, некоторые команды в коде лишь обозначены как «пустые», без фактической реализации.

С технической стороны у ToxicPanda есть ряд возможностей для кибератак. Вредонос может управлять устройством удалённо, получать доступ к одноразовым паролям, чтобы обходить двухфакторную аутентификацию, и скрывать своё присутствие с помощью сложных методов маскировки. При этом, в отличие от старых версий TgToxic, в ToxicPanda убрали автоматическую систему переводов, что упростило структуру вируса.

Среди других особенностей ToxicPanda — возможность скрывать и блокировать доступ к системным настройкам, использованию средств безопасности и управлению разрешениями. Такие функции помогают скрывать троян на устройстве и затрудняют удаление.

Технические аспекты кампании подтверждают, что вредоносная программа ориентирована на прямое взаимодействие с заражёнными устройствами, предоставляя операторам возможности по ручному управлению и обходу банковской защиты. Более того, троян записывает и передаёт на C2-сервер скриншоты пользователя, что позволяет собирать снимки экрана с учетными данными для входа в приложение банка.

Инфраструктура вируса настроена таким образом, что использует жёстко прописанные домены для связи с C2-сервером. Такой механизм облегчает управление ботнетом, но снижает гибкость в случае, если домены будут заблокированы. ToxicPanda также использует шифрование для защиты передаваемых данных.

Доступ к панели управления ботнетом позволил команде Cleafy понять, как хакеры контролируют заражённые устройства и проводят мошеннические операции. Такие сведения помогают аналитикам разрабатывать меры противодействия и предотвращать дальнейшее распространение вируса. ToxicPanda показывает, что угрозы банковским приложениям в Европе и Латинской Америке растут, и требует от компаний усиления защиты мобильных устройств.


Распечатать
29 августа 2025 В Иваново мужчина украл смартфоны на сумму 3 миллиона рублей
29 августа 2025 Спасатель оценил шансы на выживание российского пловца в Босфоре
29 августа 2025 США согласились поставить Украине 3350 авиационных ракет ERAM
29 августа 2025 Канада ввела санкции против лидера Гагаузии Евгении Гуцул и молдавских политиков
28 августа 2025 Сотрудник правоохранительных органов из Махачкалы трагически скончался во время погони за правонарушителем
28 августа 2025 На севере Молдовы мужчина прокатился на крыше BMW
28 августа 2025 В Махачкале разукрасили изображения участников "СВО" на проспекте Петра I
28 августа 2025 Министерство иностранных дел Италии сомневается в том, что конфликт между Россией и Украиной завершится до конца года
28 августа 2025 Фабрике Морозовых угрожает опасность из-за строительных планов Дениса Бородако
28 августа 2025 В Забайкалье молодой человек умер на следующий день после похорон своей матери
28 августа 2025 Полпред в СЗФО Александр Гуцан имеет возможность занять должность генерального прокурора России
28 августа 2025 В Куйбышевском районе Донецка местные жители затевают драки за емкости с водой
28 августа 2025 Трамп считает, что ожидания Зеленского и Европы в отношении Украины неосуществимы
28 августа 2025 Руководитель «Орехово-Медведковской ОПГ» Шарапов отправился на фронт вместо отбывания срока в исправительном учреждении
28 августа 2025 Италия рассматривает варианты предоставления Украине гарантий безопасности, при этом исключая военное присутствие
28 августа 2025 Пожары в районе Геленджика: местные власти просят жителей о помощи
28 августа 2025 Атака России на Киев нанесла ущерб посольству Азербайджана
28 августа 2025 Дело Мамедали Агаева расследуется: контакты с Азербайджаном и многомиллионная кража в Театре сатиры
28 августа 2025 В Москве выбрана мера пресечения для обвиняемого в нападении на офицеров полиции
28 августа 2025 Истребитель в Польше потерпел аварию во время подготовки к авиашоу