Toxicpanda: Dieser gefährliche Banking-Trojaner tarnt sich als Chrome-Browser
Die erst seit wenigen Wochen dank der Sicherheitsforscher:innen von Cleafy bekannte Malware Toxicpanda breitet sich von China kommend weltweit aus und wird verstärkt auch in Europa und Lateinamerika wahrgenommen. Bestätigt ist indes erst ein Befall von rund 1.500 Smartphones mit dem Google-Betriebssystem.
Toxicpanda gibt sich als Chrome oder als Banking-App aus
Allerdings gibt es Anzeichen dafür, dass die Bedrohung durch den Trojaner wächst. Ziel des Toxicpanda sind die Bankkonten seiner Opfer. Dazu verwendet er eine ungewöhnliche Angriffsstrategie. Er gibt sich nämlich als vertrauenswürdige App aus und kommt etwa als Google Chrome oder direkt als Banking-App daher. Damit werden Nutzer:innen perfekt getäuscht.
Das ist aber noch nicht alles. Toxicpanda kann auch Einmalpasswörter abfangen, die Sicherheits- und Barrierefreiheitsdienste von Android nutzen und sich selbst Berechtigungen zur Steuerung erweiterter Funktionen auf dem Gerät erteilen. Die Malware kann sogar eine Fernsteuerung aktivieren und Angreifern direkten Zugriff ermöglichen.
Risikofaktor Sideloading leicht zu vermeiden
Toxicpanda wurde vor einigen Wochen vom Threat Intelligence-Team von Cleafy entdeckt und als bösartiger Trojaner mit hoch spezialisiertem Code klassifiziert. Der neue Schädling ist eine Weiterentwicklung einer älteren Malware-Familie namens TgToxic – dieses Mal indes mit klarem Fokus auf Finanzbetrug.
Toxicpanda verbreitet sich durch Sideloading. Ihr könnt ihn euch also nicht über die gängigen App-Stores einfangen, sondern ausschließlich durch den Download und die Installation einer APK-Datei von einer Website.
Insofern ist der Schutz vor dem Trojaner recht einfach umzusetzen. Wer darauf achtet, Apps ausschließlich aus offiziellen App-Stores zu installieren, ist im Grunde sicher. Wichtig ist noch, aufpoppende Installationsanweisungen beim Surfen im Netz zu ignorieren.
Toxicpanda: Malware stammt wohl aus Hongkong
Laut Cleafy verwenden die Betrüger gefälschte App-Seiten, um Nutzer:innen zum Herunterladen des gefährlichen Trojaners zu verleiten. Der befindet sich laut Cleafy noch in der Entwicklung. Einige Befehle sollen als Platzhalter ohne echte Funktion erscheinen, was darauf hindeute, dass die Betrüger noch daran arbeiten, Toxicpanda leistungsfähiger zu machen. Den Anzeichen nach kommen die Betrüger wohl aus China, höchstwahrscheinlich Hongkong.
Auch vonseiten der Banken, die die Toxicpanda-Transaktionen wohl als legitim akzeptieren, könnten und sollten Maßnahmen ergriffen werden. So könnten etwa Passkeys und Multi-Faktor-Authentifizierung zum Kontozugriff den Schutz der Kundenkonten deutlich verbessern.