Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Смартфоны Samsung, Xiaomi и Oppo уявзимы перед банковским трояном ToxicPanda

01/08/25

hack bank2-Oct-20-2021-08-59-03-20-AM

В начале 2025 года в Португалии и Испании начал стремительно распространяться банковский троян ToxicPanda, заразивший более 4500 устройств. Целью вредоноса является кража данных для входа в банковские приложения, перехват PIN-кодов и шаблонов разблокировки, а также проведение несанкционированных транзакций.

Первоначально зловред появился в 2022 году в Юго-Восточной Азии и был задокументирован специалистами Trend Micro, пишет Securitylab. Однако уже в 2024 году его активность сместилась в Европу. По данным Cleafy, тогда под удар попали Италия, Португалия, Гонконг, Испания и Перу. К 2025 году, согласно наблюдениям TRACE, акцент оказался на Португалии и Испании, где зафиксировано около 3000 и 1000 случаев соответственно — более 85% от всех заражений.

Согласно свежим данным Bitsight, наибольший урон троян наносит бюджетным моделям смартфонов Samsung (линейки A и S, включая старые S8 и S9 и флагманы S23), Xiaomi (Redmi) и Oppo (A-серия), что демонстрирует высокую совместимость с различными устройствами.

Распространение совпадает с общим ростом числа атак Android-троянов: в 2024 году зафиксирован скачок на 196% до 1,24 млн случаев. В отличие от прокси-ботнетов и DDoS-инфраструктур, такие трояны становятся всё более прицельными и технически изощрёнными.

ToxicPanda распространяется через TDS-инфраструктуру TAG-124, размещая вредоносные APK-файлы («dropper.apk» и «no_dropper.apk») на скомпрометированных сайтах, часто маскирующихся под обновления Google Chrome. Установка сопровождается запросом 58 разрешений, включая доступ к SMS, уведомлениям и функциям доступности. Это даёт трояну возможность перехватывать OTP-коды, подменять интерфейсы банковских приложений, осуществлять кейлоггинг и перехватывать навигацию по экрану.

Маскируясь под Google Chrome, вредонос побуждает пользователя включить службы доступности, после чего начинает накладывать фальшивые формы входа для 39 банков. Конфигурации поступают в формате JSON с C2-сервера, данные перехватываются через WebView и TYPE_ACCESSIBILITY_OVERLAY.

Для защиты от анализа применяются проверки на наличие эмуляторов и песочниц. C2-коммуникации строятся на доменах, созданных через алгоритм генерации, с резервом в зашифрованных «dom.txt» (DES/CBC с ключом «jp202411»). Шифрование полезной нагрузки реализовано через AES/ECB с ключом «0623U25KTT3YO8P9».

Темы:Банки и финансыСмартфоныПреступлениятрояны
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов
  • Кибербезопасность ЦВЦБ – цифровой валюты центрального банка
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Если все планы реализуются, то с 1 апреля 2023 г. цифровой рубль должен появиться в экономическом пространстве

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...