ToxicPanda: Банковский троянец для Android усиливает атаки на Испанию и Португалию

После волны заражений в Италии в конце 2024 года, эпицентр активности сместился на Пиренейский полуостров. По данным аналитической группы TRACE, в начале 2025 года Португалия и Испания стали основными мишенями злоумышленников, на которые приходится свыше 85% глобальных инфицированных устройств. Только в Португалии зафиксировано около 3000 компрометированных гаджетов, в Испании - порядка 1000. Общий ботнет демонстрирует двукратный рост, достигая пиковых значений в 4500 устройств.

ToxicPanda представляет собой высокоспециализированный инструмент для хищения банковских реквизитов и данных цифровых кошельков. Механизм работы включает наложение фишинговых экранов поверх легитимных приложений, перехват PIN-кодов и графических ключей, а также удаленное инициирование несанкционированных транзакций. Особую опасность представляет способность троянца обходить двухфакторную аутентификацию благодаря захвату SMS и уведомлений. Техническая сложность вредоноса постоянно возрастает: разработчики оперативно внедряют новые функции, такие как кастомизированные оверлеи для конкретных банковских приложений и расширенные методы сохранения активности в системе.

Инфраструктура распространения претерпела значительные изменения. TRACE обнаружила использование злоумышленниками многоуровневой системы распределения трафика TAG-124, ранее документированной Insikt Group. Данная инфраструктура, характеризующаяся ротацией доменов и серверов, обеспечивает устойчивость кампании. Вредоносные APK-файлы размещаются на скомпрометированных сайтах и доменах, напрямую зарегистрированных злоумышленниками. Некоторые ресурсы индексируются поисковыми системами, что упрощает непреднамеренную загрузку троянца пользователями. Основные векторы заражения включают поддельные страницы обновления Google Chrome и механизмы обхода капчи. Среди наиболее уязвимых устройств - модели Samsung серии A, Xiaomi Redmi и Oppo A, хотя отмечаются случаи заражения и флагманских линеек.

Технический анализ выявляет изощренные методы противодействия обнаружению. ToxicPanda использует сложную систему антиэмуляции, проверяющую параметры процессора, наличие сенсоров, Bluetooth-модулей и других характеристик, типичных для физических устройств. При подозрении на анализ в песочнице троянец переходит в спящий режим или самоуничтожается. Важным нововведением стал алгоритм генерации доменных имен (DGA), создающий динамические адреса для командных серверов. Это усложняет блокировку вредоносной инфраструктуры. Коммуникация с C2-серверами защищена AES-шифрованием с фиксированным ключом "0623U25KTT3YO8P9", а для резервного хранения доменов применяется DES с ключом "jp202411".

Особую роль в функционале троянца играет злоупотребление службами доступности Android. Получив соответствующие разрешения, ToxicPanda получает практически неограниченный контроль над устройством: перехватывает ввод данных, подменяет интерфейсы приложений, блокирует попытки доступа к настройкам безопасности. Пользователь сталкивается с невозможностью удалить вредонос через стандартный интерфейс - троянец автоматически закрывает окна деинсталляции или отключения служб доступности. Для устранения угрозы требуются действия через отладку ADB, что недоступно рядовым владельцам гаджетов. Фишинговые оверлеи, загружаемые с серверов, демонстрируют высокую точность имитации интерфейсов целевых банковских приложений. В последней версии обнаружено 39 кастомизированных шаблонов для финансовых организаций Португалии и Испании, включая Bankinter Portugal.

Сетевые взаимодействия троянца организованы через WebSocket-соединения, где передаются украденные данные и получаются команды. Среди новых инструкций - функции управления доменами-резервами, манипуляции с веб-вью и обновление фишинговых правил. Персистентность обеспечивается перехватом системных событий: при попытке удаления или обновления пакета автоматически активируется механизм восстановления.

Лингвистические артефакты в коде указывают на связь с китайскоязычными разработчиками, что коррелирует с более ранними исследованиями Cleafy. Аналитики подчеркивают: активность ToxicPanda не снижается. Обновление командной панели, регистрация новых доменов через Cloudflare и наличие закомментированных функций в коде свидетельствуют о продолжающейся разработке. Троянец остается значимой угрозой для финансовой безопасности пользователей Android в Европе, демонстрируя адаптивность и целеустремленность своих создателей. Текущая инфраструктура и технические возможности позволяют прогнозировать дальнейшую эскалацию атак на финансовый сектор.

IPv4

• 104.21.52.214
• 172.67.204.27
• 38.54.119.95
• 8.54.119.95

Domains

• aerodromeabase.com
• bentonwhite.com
• bplnetempresas.com
• chalnlizt.org
• check-googlle.com
• cihainlst.org
• com-animus.app
• comteste.com
• cuenta-ntflx.com
• d7472ad157.lol
• dogs-airdp.com
• euro-mago.com
• extensionphantomisyour.com
• frezorapp.io
• haleetemug.com
• infos-lieferung.com
• infos-versand.de
• io-suite-web.com
• ksicngtw.org
• manflle.com
• miner-tolken.com
• mktgads.com
• mondiale-relaissupport.com
• onsuitex.com
• phaimtom.com
• phanetom.com
• phantomisyourextension.com
• phanutom.com
• phaqwentom.com
• phatom-wa.com
• phatom-we.com
• phavtom-v1.com
• phavtom-v2.com
• phavtom-v3.com
• plesk.page
• portalonline-simplespgme.online
• portalreceitafazenda.com
• private-lieferung.de
• roninachain.com
• ronnin-v2.com
• ronnin-v3.com
• ronnnn.com
• symbiatec-fi.com
• symbiatic-fi.com
• symbieitc.com
• symbietic.com
• symblatic.com
• symdlotic.com
• synbioltic.com
• tradr0ger.cloud
• trust-walles.com
• update-chronne.com
• v2-rubby.com
• v3-rabby.com