Los investigadores han nombrado una nueva botnet (inicialmente se creía que formaba parte de la familia de troyanos bancarios Toxic) como una cepa derivada completamente nueva con su propio apodo, ToxicPanda.
El robot bancario ToxicPanda apareció en al menos 1.500 dispositivos individuales en Italia, Portugal, España y América Latina, intentando activamente robar dinero de al menos 16 instituciones financieras diferentes, según nuevos hallazgos de Cleafy. Los actores de amenazas chinos detrás de ToxicPanda implementan el malware para tomar el control de un dispositivo objetivo e iniciar transferencias de dinero fraudulentas, evitando las protecciones de identidad y autenticación de los bancos, advirtió el equipo de Cleafy.
“Las capacidades de acceso remoto permiten a actores maliciosos realizar una apropiación de cuentas (ATO) directamente desde el dispositivo infectado, explotando la técnica de fraude en el dispositivo (ODF)”, dice el informe. Informe claro. “Esta consolidación de esta técnica ya ha sido observada por otros troyanos bancarios, como MedusaCopybara y, recientemente, BingoMod.”
Este enfoque simplificado y manual para Troyano bancario para Android Los investigadores señalaron que brinda a los actores de amenazas la ventaja de no tener que depender de desarrolladores altamente capacitados, abre la posibilidad de victimizar a más clientes bancarios y elude muchas protecciones de ciberseguridad utilizadas por los servicios financieros y los bancos.
Es importante destacar que el análisis del código reveló que ToxicPanda se encuentra en las primeras etapas de desarrollo. Pero eso no significa que no tenga ya un conjunto impresionante de funciones, incluida la capacidad de aprovechar los servicios de accesibilidad de Android para aumentar los permisos y capturar datos de aplicaciones, señaló el equipo de Cleafy.
Además, ToxicPanda permite al actor malintencionado tomar control remoto del dispositivo infectado e iniciar acciones como transferencias de dinero sin el conocimiento de los usuarios. El troyano bancario también intercepta contraseñas de un solo uso enviadas a través de SMS o aplicaciones de autenticación, desmantelando por completo las protecciones de autenticación multifactor. Finalmente, ToxicPanda está lleno de trucos para ocultar código para evitar la detección.
El informe advierte que el ascenso de ToxicPanda indica que los actores de amenazas de habla china están intensificando sus operaciones para expandirse a nuevos territorios fuera de sus raíces tradicionales del sudeste asiático.
“Esta tendencia resalta el creciente desafío en el ecosistema de seguridad móvil, a medida que el mercado se satura cada vez más con malware y surgen nuevos actores maliciosos”, dice el informe de Cleafy. “Una pregunta importante que surge de este análisis no es sólo cómo defenderse contra amenazas como ToxicPanda, sino también por qué las soluciones antivirus contemporáneas han tenido dificultades para detectar una amenaza que, en términos técnicos, es relativamente simple. Si bien no existe una respuesta única, la falta de sistemas de detección proactivos y en tiempo real es una cuestión clave”.
Google corrige dos vulnerabilidades de Android explotadas activamente
A medida que los grupos de habla china buscan obtener el primer acceso a los dispositivos, a menudo explotan las vulnerabilidades de Android en ataques a gran escala.
Oportunamente, el 4 de noviembre, Google publicó correcciones para docenas de Vulnerabilidades de Android Como parte de la actualización de noviembre, entre ellos dos ya han sido explotados, CVE-2024-43047 y CVE-2024-43093. Aunque Google no ha publicado detalles, el primero fue descubierto por Amnistía Internacional y el Grupo de Análisis de Amenazas de Google, conocido por rastrear actividades comerciales de software espía. El segundo es una falla de escalada de privilegios de alta gravedad en el marco de Android.
Más allá de revelar las fallas, que “podrían estar sujetas a una explotación limitada y específica”, Google no proporcionó detalles adicionales.
No te pierdas lo último Podcast confidencial de lectura oscura, donde hablamos sobre los estándares de criptografía poscuántica del NIST y lo que sigue para los profesionales de la ciberseguridad. Invitados de General Dynamics Information Technology (GDIT) y la Universidad Carnegie Mellon lo explican todo. ¡Escuche ahora!