Come rimuovere ToxicPanda dai dispositivi Android
Scitto da Tomas Meskauskas il
Che cos'è ToxicPanda?
ToxicPanda è un trojan bancario che colpisce gli utenti Android. La sua funzione principale è quella di avviare trasferimenti di denaro dai dispositivi violati attraverso l'acquisizione del conto (ATO) utilizzando un metodo chiamato On-Device Fraud (ODF). Alcuni dei comandi disponibili in ToxicPanda non sono completamente funzionanti, poiché il malware è ancora in fase di sviluppo iniziale.
ToxicPanda in dettaglio
ToxicPanda sfrutta le caratteristiche di accessibilità di Android per ottenere autorizzazioni, manipolare le azioni dell'utente e rubare dati da altre applicazioni, il che lo rende pericoloso per le applicazioni bancarie. Inoltre, il malware permette agli aggressori di controllare da remoto il dispositivo infetto, consentendo loro di eseguire azioni come effettuare transazioni o alterare le impostazioni del conto senza che l'utente ne sia consapevole.
Ciò lo rende uno strumento utile ed efficace per effettuare frodi sul dispositivo (ODF), una pericolosa forma di frode bancaria. Inoltre, ToxicPanda può catturare le one-time password (OTP) inviate via SMS o generate dalle app di autenticazione, aiutando i criminali informatici a bypassare l'autenticazione a due fattori (2FA) e ad approvare le transazioni.
Inoltre, questo malware può accedere agli album del telefono e inviare immagini al server di comando e controllo (C2). Questo può essere un metodo efficace per rubare informazioni sensibili, come screenshot con dettagli di login. ToxicPanda consente inoltre agli attori delle minacce di ottenere informazioni come l'ID e lo stato del dispositivo infetto, la marca e il modello, la geolocalizzazione basata sul fuso orario e i dettagli sulla versione del software.
Con ToxicPanda, i criminali informatici possono commettere furti di identità, eseguire transazioni non autorizzate (rubare denaro dai conti delle vittime a loro insaputa) e molto altro ancora. È importante notare che il malware aggiorna costantemente le sue tecniche di offuscamento per eludere il rilevamento. Utilizza metodi di occultamento del codice che lo rendono difficile da analizzare per i ricercatori di sicurezza.
| Nome | Trojan bancario ToxicPanda |
| Tipo di minaccia | Malware Android, Trojan bancario |
| Nomi di rilevamento | Combo Cleaner (Android.Trojan.SpyAgent.JA), ESET-NOD32 (Android/Spy.Banker.DEX), Kaspersky (HEUR:Trojan-Spy.AndroidOS.SpyNote.cb), Sophos (Android Obfuscated APK (PUA)), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni del sistema vengono modificate senza l'autorizzazione dell'utente, appaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo, i browser vengono reindirizzati a siti web discutibili, vengono diffusi annunci pubblicitari intrusivi. |
| Metodi di distribuzione | App store di terze parti, siti web poco raccomandabili, allegati e-mail infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli. |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Conclusione
ToxicPanda è un malware altamente efficace che consente ai criminali informatici di rubare dati sensibili, aggirare le misure di sicurezza e commettere frodi finanziarie. La sua capacità di controllare da remoto i dispositivi infetti e di eludere il rilevamento lo rende una seria minaccia sia per i singoli che per le organizzazioni.
Altri esempi di malware Android sono AwSpy, Octo2 e Necro.
Come si è infiltrato ToxicPanda nel mio dispositivo?
ToxicPanda viene distribuito attraverso il side-loading, in cui gli utenti vengono indotti a scaricare app dannose attraverso tattiche di social engineering, come offerte false o messaggi di phishing. Queste app vengono installate al di fuori degli app store ufficiali, aggirando le misure di sicurezza. Una volta installato, il malware si attiva e inizia a rubare dati, controllare il dispositivo e commettere frodi.
La distribuzione di ToxicPanda prevede l'utilizzo di icone popolari, come quelle di Google Chrome e VISA, insieme a icone esca che assomigliano a popolari app di incontri. Questo approccio aumenta le possibilità del malware di indurre gli utenti a scaricare o interagire con l'app dannosa.
Come evitare l'installazione di malware?
Installare sempre applicazioni da fonti affidabili come il Google Play Store. Evitate di scaricare applicazioni da siti di terze parti, app store non ufficiali, ecc. Utilizzate Google Play Protect per scansionare le app dannose. Utilizzate applicazioni antivirus o antimalware affidabili per rilevare e rimuovere il software dannoso.
Mantenete aggiornati il sistema operativo e le applicazioni del vostro dispositivo. Evitate di cliccare su link, annunci e pop-up sospetti o di scaricare allegati da e-mail e messaggi sconosciuti.
Il pannello di amministrazione di ToxicPanda (fonte: cleafy.com):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Reimpostare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccare "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermare l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia su rete mobile che su rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "App di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio computer è stato infettato dal malware ToxicPanda, devo formattare il dispositivo di archiviazione per eliminarlo?
È possibile rimuovere il malware formattando il dispositivo di archiviazione, ma questo eliminerà tutti i file e gli altri dati. Prima di ricorrere alla formattazione, è meglio eseguire uno strumento di sicurezza affidabile, come Combo Cleaner, per cercare di eliminare ToxicPanda dal sistema.
Quali sono i maggiori problemi che il malware può causare?
Gli attacchi di malware possono portare al furto di informazioni personali, a perdite finanziarie, al rallentamento delle prestazioni del computer, a ulteriori infezioni da malware, al furto di identità e a vari altri problemi.
Qual è lo scopo di ToxicPanda?
ToxicPanda è un Trojan bancario progettato per avviare trasferimenti di denaro da dispositivi compromessi attraverso l'acquisizione del conto (ATO) e la frode sul dispositivo (ODF). Il suo obiettivo principale è quello di aggirare le misure di sicurezza delle banche, tra cui la verifica dell'identità e il rilevamento dei comportamenti, per facilitare le transazioni fraudolente.
Come si è infiltrato ToxicPanda nel mio dispositivo?
È probabile che ToxicPanda si sia infiltrato nel vostro dispositivo attraverso un caricamento laterale, in cui siete stati indotti a installare un'app dannosa o tramite un'e-mail o un messaggio ingannevole, un app store di terze parti, una pubblicità fraudolenta o un canale simile.
Combo Cleaner mi protegge dal malware?
Combo Cleaner è in grado di rilevare e rimuovere la maggior parte del malware conosciuto, ma le minacce avanzate possono nascondersi in profondità nel sistema, quindi spesso è necessaria una scansione completa del sistema per eliminarle completamente.
Eccezionale!
▼ Mostra Discussione