“ToxicPanda” est un malware bancaire conçus pour les appareils Android, spécialisé dans la compromission d’appareils mobiles à travers des techniques d’on-device fraud (ODF) et de prise de contrôle de compte (Account Takeover, ATO).  L’infection par ce malware se produit principalement via le téléchargement d’applications malveillantes en dehors du Google Play Store (sideloading). Les victimes sont souvent trompées par de fausses mises à jour de navigateurs ou d’applications populaires.

“ToxicPanda” abuse des services d’accessibilité d’Android afin d’obtenir un contrôle étendu sur les appareils infectés. Une fois déployé, le malware peut exécuter plusieurs commandes à distance, lui permettant notamment de simuler des actions utilisateurs telles que les clics, le défilement ou la saisie de texte. Il est également capable de déployer des superpositions frauduleuses imitant des applications bancaires légitimes, d’intercepter les frappes clavier et de collecter des identifiants sensibles. Ces capacités permettent une automatisation complète des interactions avec les applications financières directement depuis l’appareil compromis.

Les risques associés à cette menace sont élevés et incluent la compromission de comptes bancaires, des pertes financière et atteinte à la confiance des clients via l’exécution des transactions frauduleuses entièrement automatisées et le contournement des mécanismes de sécurité, y compris l’authentification à deux facteurs (2FA).

“ToxicPanda” intègre des mécanismes avancés destinés à renforcer sa résilience et son efficacité. L’utilisation d’un Domain Generation Algorithm (DGA) permet de rendre les infrastructures de commande et contrôle (C2) plus résistantes aux tentatives de démantèlement.

Le maCERT recommande d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection et d’alerter le maCERT en cas de détection d’une activité relative à ce malware.

Actions recommandées :

• Interdire l’installation d’applications via sideloading ;

  • Désactiver l’option « Installer des applications depuis des sources inconnues ».

• Installer les applications Android exclusivement depuis le Google Play Store ;

• Activer et maintenir Google Play Protect ;

• Mettre à jour régulièrement :

  • le système Android

  • les applications installées

• Sensibiliser les utilisateurs aux fausses mises à jour (Chrome, navigateur, sécurité, banque) ;

• Éviter de cliquer sur des liens reçus par SMS, messageries ou emails non sollicités ;

• Surveiller les communications suspectes vers des domaines générés dynamiquement (DGA) ;