01/08/25
В начале 2025 года в Португалии и Испании начал стремительно распространяться банковский троян ToxicPanda, заразивший более 4500 устройств. Целью вредоноса является кража данных для входа в банковские приложения, перехват PIN-кодов и шаблонов разблокировки, а также проведение несанкционированных транзакций.
Первоначально зловред появился в 2022 году в Юго-Восточной Азии и был задокументирован специалистами Trend Micro, пишет Securitylab. Однако уже в 2024 году его активность сместилась в Европу. По данным Cleafy, тогда под удар попали Италия, Португалия, Гонконг, Испания и Перу. К 2025 году, согласно наблюдениям TRACE, акцент оказался на Португалии и Испании, где зафиксировано около 3000 и 1000 случаев соответственно — более 85% от всех заражений.
Согласно свежим данным Bitsight, наибольший урон троян наносит бюджетным моделям смартфонов Samsung (линейки A и S, включая старые S8 и S9 и флагманы S23), Xiaomi (Redmi) и Oppo (A-серия), что демонстрирует высокую совместимость с различными устройствами.
Распространение совпадает с общим ростом числа атак Android-троянов: в 2024 году зафиксирован скачок на 196% до 1,24 млн случаев. В отличие от прокси-ботнетов и DDoS-инфраструктур, такие трояны становятся всё более прицельными и технически изощрёнными.
ToxicPanda распространяется через TDS-инфраструктуру TAG-124, размещая вредоносные APK-файлы («dropper.apk» и «no_dropper.apk») на скомпрометированных сайтах, часто маскирующихся под обновления Google Chrome. Установка сопровождается запросом 58 разрешений, включая доступ к SMS, уведомлениям и функциям доступности. Это даёт трояну возможность перехватывать OTP-коды, подменять интерфейсы банковских приложений, осуществлять кейлоггинг и перехватывать навигацию по экрану.
Маскируясь под Google Chrome, вредонос побуждает пользователя включить службы доступности, после чего начинает накладывать фальшивые формы входа для 39 банков. Конфигурации поступают в формате JSON с C2-сервера, данные перехватываются через WebView и TYPE_ACCESSIBILITY_OVERLAY.
Для защиты от анализа применяются проверки на наличие эмуляторов и песочниц. C2-коммуникации строятся на доменах, созданных через алгоритм генерации, с резервом в зашифрованных «dom.txt» (DES/CBC с ключом «jp202411»). Шифрование полезной нагрузки реализовано через AES/ECB с ключом «0623U25KTT3YO8P9».
