Tus cuentas bancarias, tus contraseñas y hasta tus chats privados están en peligro, y el responsable es un nuevo malware que está haciendo de las suyas. Se llama ToxicPanda, un troyano bancario que apunta directamente a usuarios de Android. ¿El problema? No solo roba datos sensibles como tus credenciales bancarias, sino que además es tan sigiloso que podrías no darte cuenta hasta que sea demasiado tarde. Este malware ya ha infectado más de 1.500 dispositivos Android. Por ahora, este troyano bancario está causando problemas sobre todo en Europa y Latinoamérica, con un enfoque especial en Italia.
¿Qué es el malware Toxic Panda y cómo funciona?
El malware ToxicPanda tiene algunos puntos en común con un viejo conocido: los troyanos de la familia TgToxic, que ya han causado estragos en el sudeste asiático. Pero aquí viene lo interesante: aunque ambos comparten ciertos comandos y comportamientos, ToxicPanda tiene su propio estilo y un código diferente que lo hace único (y más peligroso, claro).
Este troyano para Android está diseñado para hacer exactamente lo que temes: robar cuentas y realizar transferencias de dinero sin que te des cuenta. Utiliza una técnica conocida como fraude en el dispositivo (ODF, por sus siglas en inglés), lo que básicamente significa que realiza todas las operaciones desde tu propio celular. Así, evita que los sistemas de seguridad bancarios, como la autenticación de identidad o la detección de actividades sospechosas, lo detecten. ¿Cómo? Pues "fingiendo" ser tú, pero desde tu propio dispositivo. Creepy, ¿verdad?
Aunque todavía está en desarrollo (sí, ni siquiera está "terminado"), ToxicPanda ya está causando estragos. Se calcula que ha infectado a miles de dispositivos en países como Italia, Portugal, España y varios de América Latina. Además, no es nada tímido: ya ha atacado a 16 bancos diferentes.
Lo curioso es que los expertos creen que los responsables de este ataque son actores de habla china, probablemente los mismos que están detrás de los troyanos TgToxic. Pero hay un detalle que llama la atención: no es común que ciberdelincuentes chinos se enfoquen en usuarios de Europa y América Latina. Esto podría ser una señal de que están cambiando o ampliando su estrategia. En pocas palabras, es como si hubieran decidido "expandir el negocio".
Según un informe publicado por la firma de ciberseguridad Cleafy, el objetivo principal de ToxicPanda es "secuestrar" cuentas y realizar transferencias fraudulentas usando la técnica de ODF. Con esto, el malware logra saltarse las medidas de seguridad bancaria, como las verificaciones de identidad o las herramientas que detectan comportamientos sospechosos. Básicamente, este troyano es como un ladrón experto que usa tus propias llaves para entrar en tu casa y robar sin que lo notes.
¿Lo peor? Es rápido, sigiloso y está expandiéndose. Así que es momento de ponerse alerta y proteger tu Android antes de que ToxicPanda decida visitarte. El malware ToxicPanda está dando sus primeros pasos, y eso queda claro cuando los expertos revisan su código. Resulta que muchos de sus comandos son solo "placeholders" o marcadores vacíos, sin una función real implementada. Básicamente, es como si fuera un trabajo a medio hacer. Sin embargo, eso no significa que no sea peligroso.
Al igual que otros troyanos bancarios como Medusa, BingoMod y Copybara, ToxicPanda tiene un enfoque manual que permite a los atacantes apuntar a cualquier cliente bancario. Lo interesante de este método es que requiere menos habilidades técnicas (lo que facilita el trabajo a los ciberdelincuentes) y, además, les permite esquivar las defensas más avanzadas de los bancos, como las que detectan comportamientos sospechosos.
Ahora, desde un punto de vista técnico, los investigadores aseguran que este malware es menos sofisticado si lo comparamos con otros troyanos bancarios más avanzados. Por ejemplo, a diferencia de su "pariente" TgToxic, parece que ToxicPanda ha recortado funcionalidades importantes, como las rutinas de transferencia automática (ATS).
También ha reducido las capas de "escondite" en su código (llamadas técnicas de ofuscación), lo que sugiere que el equipo detrás de este malware todavía está aprendiendo cómo atacar a usuarios fuera de sus fronteras habituales. Esto podría estar relacionado con las estrictas regulaciones bancarias en países europeos, como las establecidas por la directiva PSD2, que complican los intentos de fraude.
Te podrá interesar leer: Seguridad Móvil con Microsoft Defender for Endpoints
¿Cómo logra ToxicPanda hacer tanto daño?
El truco está en que usa los servicios de accesibilidad de Android para ganar permisos elevados, lo que le permite controlar el dispositivo de forma remota y realizar transacciones fraudulentas o cambios en cuentas bancarias. Además, puede interceptar los códigos de un solo uso (OTP) que llegan por SMS para saltarse la autenticación en dos pasos (2FA). Por si fuera poco, emplea técnicas avanzadas de evasión para pasar desapercibido frente a los sistemas de seguridad. Todo esto lo convierte en un experto en lo que se llama fraude en el dispositivo (ODF).
Y no solo eso: ToxicPanda también puede espiar cosas como tus fotos almacenadas en el teléfono. Puede convertirlas a un formato especial (BASE64) y enviarlas a un servidor remoto controlado por los atacantes. ¿Para qué? Bueno, imaginemos que tienes capturas de pantalla con tus credenciales bancarias, tarjetas virtuales o cualquier información sensible. Sí, esas también podrían terminar en manos de los ciberdelincuentes. Esta técnica ya la hemos visto antes en otros malwares famosos, como TrickMo.
Otro detalle interesante es cómo el código de ToxicPanda se parece al de su "predecesor", TgToxic. Los investigadores han encontrado 61 comandos que comparten ambos malwares, lo que sugiere que probablemente el mismo grupo está detrás de ambos. Sin embargo, ToxicPanda también trae 33 comandos completamente nuevos, aunque, como dijimos antes, algunos todavía no están del todo operativos.
En cuanto a cómo se comunica con sus creadores, ToxicPanda utiliza tres dominios estáticos codificados en su propio código: dksu[.]top, mixcom[.]one, y freebasic[.]cn. Esto significa que no utiliza técnicas más sofisticadas como los algoritmos de generación de dominios (DGA), algo que sí hemos visto en malwares más avanzados. En su lugar, depende de estos dominios específicos para conectarse a su servidor de comando y control (C2). Esto podría ser otra señal de que los desarrolladores están aún en una etapa de aprendizaje.
Fuente: Clearly
Los investigadores lograron acceder al panel de control y a los datos de telemetría del servidor de comando y control (C2) de ToxicPanda, revelando el alcance completo de esta campaña maliciosa. Italia lidera como el principal objetivo, acumulando el 56,8% de las infecciones, lo que deja claro que hay un enfoque estratégico detrás de estos ataques. Portugal, con el 18,7%, ocupa el segundo lugar, mientras que la presencia de Hong Kong con un 4,6% sugiere que los atacantes están empezando a explorar objetivos en Asia. España y Perú, con un 3,9% y 3,4% respectivamente, apuntan a que la campaña podría estar expandiéndose hacia América Latina.
Un punto clave que resalta el informe es la efectividad limitada de las soluciones antivirus actuales para detectar amenazas como ToxicPanda. A pesar de que este malware no es particularmente complejo desde un punto de vista técnico, muchos sistemas han fallado en detectarlo. ¿Por qué? Según los expertos, la falta de herramientas de detección proactiva y en tiempo real sigue siendo un problema crítico, y esto deja a millones de usuarios vulnerables frente a amenazas que, en teoría, deberían ser fáciles de identificar.
Conoce más sobre: México: Epicentro de Ciberataques en América Latina
Conclusión
El descubrimiento de ToxicPanda nos recuerda que los ciberataques son cada vez más astutos y están evolucionando rápido. Aunque este malware ahora está causando problemas principalmente en Italia, no significa que otros países estén a salvo. Es importante estar atentos y tomar medidas para proteger nuestros dispositivos, porque al final del día, nuestro celular guarda mucha más información de la que creemos.
La mejor forma de protegerte es sencilla: mantente informado, piensa dos veces antes de hacer clic en enlaces sospechosos y usa buenas herramientas de seguridad. Recuerda, tu teléfono es casi como una llave a toda tu vida digital. Mantenerlo seguro no es opcional, es una necesidad. Así que no bajes la guardia, toma el control y haz de la seguridad digital un hábito diario.