À octobre 2024l’équipe de Cleafyune entreprise bien connue qui travaille dans le développement de solutions de cybersécurité, a identifié un nouveau malware dangereux pour les appareils Android appelé Panda Toxiqueune menace qui vole l’argent des comptes bancaires des utilisateurs en contournant les mesures de sécurité de leurs banques pour effectuer des retraits non autorisés. Dans ce cas c’est un cheval de Troie RAT (Cheval de Troie d’accès à distance), ce qui signifie qu’il permet aux attaquants de prendre le contrôle de l’appareil infecté à distanceavec la possibilité de effectuer des opérations sans que l’utilisateur s’en rende compte. L’enquête menée par Cleafy a permis d’identifier un botnet avec plus de 1 500 appareils infectés en Italie, au Portugal, en Espagne et en Amérique latine, ciblant 16 établissements bancaires. Pour vous défendre contre ce malware, vous devez uniquement installer des applications provenant de sources vérifiées (telles que le Google Play Store) et maintenir le système d’exploitation de votre téléphone à jour en installant les derniers correctifs de sécurité disponibles.
Ce que ToxicPanda peut faire et pourquoi il est dangereux
ToxicPanda se distingue par une dangereuse capacité d’adaptation : en effet, il peut abuser des services d’accessibilité de votre appareil Android pour obtenir des autorisations élevées Et manipuler les interactions avec d’autres applications. Cela lui permet par exemple de intercepter les mots de passe jetable, ce qu’on appelle Bureau du Procureur (Mot de passe à usage unique), couramment utilisé pour effectuer diverses opérations bancaires, telles que l’organisation de virements bancaires, l’achat d’instruments financiers, etc. Dans une note officielle, en effet, l’équipe de Cleafy explique :
L’objectif principal de ToxicPanda est d’initier des mouvements d’argent à partir d’appareils compromis via la prise de contrôle de compte (ATO) en utilisant une technique bien connue appelée On-Device Fraud (ODF). Il vise à contourner les contre-mesures bancaires utilisées pour imposer la vérification et l’authentification de l’identité des utilisateurs, combinées aux techniques de détection comportementale appliquées par les banques pour identifier les transferts d’argent suspects.
Cleafy a découvert que la campagne d’infection a durement frappé l’Italieoù se trouvent plus de la moitié des appareils infectés (56,8%), suivis par des pays comme l’Espagne, le Portugal, la France et le Pérou. Cela suggère une expansion géographique du malware ciblant de nouveaux territoires, comme l’Amérique latine, en plus de l’Europe.
Comment ToxicPanda se propage et pourquoi il est difficile de le détecter
Les logiciels malveillants se propagent en fonction de techniques d’obscurcissement du codece qui rend la détection difficile par l’antivirus. En fait, il utilise des stratégies qui font qu’il est difficile pour les chercheurs d’identifier avec certitude ses fonctions, car il masque son code et se cache parmi les applications de votre appareil. Pour soutenir cette tromperie, les cybercriminels ont utilisé des icônes trompeuses, telles que celles de Google Chrome ou des applications de rencontres, pour dérouter les utilisateurs et augmenter les chances d’installation.
La force de ToxicPanda réside dans son simplicité opérationnelle: utilise des outils de contrôle à distance pour réaliser des opérations bancaires directes, évitant de nécessiter l’intervention de développeurs hautement qualifiés. Cette approche permet aux attaquants de réduire les coûts et d’élargir l’éventail des utilisateurs potentiellement concernés, car tout client bancaire pourrait devenir victime du malware. De plus, les autorités et les équipes antifraude des banques ont du mal à détecter ces attaques, car les opérations démarrent directement depuis l’appareil de la victime, contournant ainsi les contre-mesures de sécurité comportementales traditionnelles.
Une caractéristique intéressante du malware est le possibilité d’accéder aux albums photos du téléphone et de transmettre les images au serveur de commande et de contrôle (C2), après les avoir converties au format BASE64. Cette technique, déjà observée avec d’autres malwares comme TrickMo, permet aux criminels de collecter des données sensibles, comme des captures d’écran d’identifiants de connexion ou de cartes virtuelles, augmentant ainsi la quantité d’informations potentiellement exploitables au détriment des malheureuses victimes.
Comment se défendre contre ToxicPanda
Pour défendez-vous contre ToxicPanda Il est essentiel d’adopter quelques précautions, que nous listons ci-dessous.
- Installez des applications uniquement à partir de sources vérifiées : si possible, installez les applications uniquement depuis le Play Store, depuis la Huawei AppGallery ou, en tout cas, depuis la boutique officielle disponible sur votre appareil. Méfiez-vous également des applications qui demandent des autorisations inhabituelles, comme l’accès aux services d’accessibilité.
- Mettez à jour votre système d’exploitation : Les correctifs de sécurité publiés par le fabricant de votre téléphone contiennent parfois des correctifs pour des failles de sécurité.
- Utilisez l’authentification à deux facteurs : Bien que ToxicPanda puisse techniquement intercepter les codes OTP, assurez-vous que l’authentification à deux facteurs (2FA) est activée sur tous les services qui la prennent en charge pour ajouter une couche de sécurité supplémentaire à vos comptes.