ToxicPanda Android banki trójai
A Bitsight TRACE kutatása szerint az ToxicPanda egy Android-alapú banki trójai, amely 2025-ben főként Európában—különösen Portugáliában és Spanyolországban—terjedt el, és több mint 4 500 eszközt fertőzött meg. A malware lényege, hogy pénzügyi alkalmazásokat és digitális pénztárcákat céloz meg overlay-támadásokkal, félrevezeti a felhasználót banki app-lapokká álcázott képernyőkre, ahová beírják PIN-kódjukat vagy pattern mintájukat, így az adatokat közvetlenül ellopja, és távoli tranzakciókat indít – on-device fraud (ODF) technikával account takeover-rel.
ToxicPanda fejlesztői gyorsan bővítették a funkcionalitást, az eszköz képes SMS-ben vagy authentikátor alkalmazásokban fogadott egyszer használatos jelszavak (OTP) elfogására, screen overlay-ek generálására banki alkalmazásokhoz, távoli irányításra Android Accessibility szolgáltatáson keresztül, valamint fotók ellopása is. A kampány során hard-coded AES kulcsokat és fallback domain listát használ, Domain Generation Algorithm (DGA) segítségével rotálja a C2 szervereket, és ellenőrzi, hogy nem emulátoron fut-e, hogy elkerülje az elemzést.
Kezdetben 2024-ben a Balkánon és Délkelet-Ázsia területein jelent meg, de 2025-re teljes fókuszt váltott Európára és Latin-Amerikára, különösen Portugáliára és Spanyolországra. Korábbi jelentések szerint már 1 500+ fertőzött eszközt jelentettek, és ez a szám hamarosan megkétszereződött az új hullámban.
