Анализ ToxicPanda: современный банковский троянец для Android
Источник: www.bitsight.com
Троянец ToxicPanda: угроза банковской безопасности на устройствах Android
ToxicPanda — это перспективный банковский троянец для Android, который специализируется на краже банковских данных и цифровых кошельков с помощью высокотехнологичных методов атаки. Первоначально обнаруженный в Юго-Восточной Азии в 2022 году, троянец с начала 2025 года расширил свою активность на Европу, в частности на Португалию и Испанию. За это время число заражённых устройств достигло порядка 4500.
Механизмы заражения и работы вредоносного ПО
Основной целью ToxicPanda является перехват финансовых данных пользователей. Вредоносная программа применяет оверлейные экраны, которые полностью имитируют интерфейс легитимных банковских приложений. Благодаря этому мошенники получают доступ к учетным данным, PIN-кодам и другим конфиденциальным сведениям, используемым для транзакций.
Ключевые особенности атаки включают:
- Наложение PIN-кодов и шаблонов разблокировки;
- Использование специальных accessibility permissions для обхода стандартных систем безопасности;
- Поддержка постоянных операций на устройстве, в том числе после попыток удаления;
- Перехват SMS-сообщений для обхода двухфакторной аутентификации;
- Механизмы самовосстановления через трансляцию процессов троянца.
Технические инновации и устойчивость троянца
Одним из ключевых элементов ToxicPanda является использование алгоритма генерации доменов (DGA). Этот механизм ежемесячно генерирует новые домены для связи с командными серверами (C2), что существенно усложняет выявление и отключение инфраструктуры злоумышленников. Особенностью DGA является стратегическое присвоение доменов верхнего уровня, что позволяет системе быть особо устойчивой к демонтажу.
Дополнительно в 2025 году было выявлено, что троянец использует инфраструктуру под названием TAG-124 с многоуровневой системой распределения трафика (Traffic Distribution System, TDS). Такая система распространяет вредоносное ПО через цепочку скомпрометированных сайтов, вынуждая пользователей скачивать заражённые APK-файлы с помощью различных обманных приёмов.
Антиэмуляция и современные методы сокрытия
Для увеличения своей невидимости ToxicPanda активно применяет технологии антиэмуляции. Они позволяют вредоносному ПО обнаруживать, запущено ли оно в изолированной тестовой среде, и корректно функционировать исключительно на реальных устройствах. Это затрудняет работу антивирусных аналитиков и автоматических систем обнаружения.
Активное развитие и геополитический контекст
Исследователи отмечают, что ToxicPanda постоянно развивается: операторы добавляют новые команды и повышают функциональность троянца. Кроме того, присутствие китайских символов и элементов кода указывает на возможные связи с хакерскими группами из Азии, что может объяснить первоначальное появление угрозы в Юго-Восточной Азии и её дальнейшую эволюцию.
Рекомендации по безопасности для пользователей
Учитывая серьёзные риски, связанные с заражением ToxicPanda, экспертами по кибербезопасности настоятельно рекомендуется:
- Загружать приложения только из официальных источников, таких как Google Play;
- Внимательно проверять запрашиваемые приложениями разрешения, особенно связанные с доступом к SMS и службам доступности (accessibility services);
- Быть критичными к подозрительным ссылкам и APK-файлам, получаемым через email или мессенджеры;
- Регулярно обновлять системы безопасности и операционные системы;
- Использовать антивирусные решения, способные обнаружить сложные банковские троянцы.
ТoxicPanda демонстрирует, насколько изощрёнными могут быть современные банковские троянцы для мобильных устройств. Повышенная бдительность и сознательный подход к безопасности играют ключевую роль в защите личных финансов и данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
