Смартфоны Samsung и Xiaomi в безнадёжной ловушке. Троян крадёт деньги, пока вы спите

Он не оставляет следов. Не просит разрешения. Просто берёт.


81ul8iu7zkqj1rrjxxvangznnybznj6v.jpg


В начале 2025 года в Португалии и Испании начал стремительно распространяться банковский троян ToxicPanda, заразивший более 4500 устройств. Целью вредоноса является кража данных для входа в банковские приложения, перехват PIN-кодов и шаблонов разблокировки, а также проведение несанкционированных транзакций.

Первоначально зловред появился в 2022 году в Юго-Восточной Азии и был задокументирован специалистами Trend Micro. Однако уже в 2024 году его активность сместилась в Европу. По данным Cleafy, тогда под удар попали Италия, Португалия, Гонконг, Испания и Перу. К 2025 году, согласно наблюдениям TRACE, акцент оказался на Португалии и Испании, где зафиксировано около 3000 и 1000 случаев соответственно — более 85% от всех заражений.

Согласно свежим данным Bitsight, наибольший урон троян наносит бюджетным моделям смартфонов Samsung (линейки A и S, включая старые S8 и S9 и флагманы S23), Xiaomi (Redmi) и Oppo (A-серия), что демонстрирует высокую совместимость с различными устройствами.

Распространение совпадает с общим ростом числа атак Android-троянов: в 2024 году зафиксирован скачок на 196% до 1,24 млн случаев. В отличие от прокси-ботнетов и DDoS-инфраструктур, такие трояны становятся всё более прицельными и технически изощрёнными.

ToxicPanda распространяется через TDS-инфраструктуру TAG-124, размещая вредоносные APK-файлы («dropper.apk» и «no_dropper.apk») на скомпрометированных сайтах, часто маскирующихся под обновления Google Chrome. Установка сопровождается запросом 58 разрешений, включая доступ к SMS, уведомлениям и функциям доступности. Это даёт трояну возможность перехватывать OTP-коды, подменять интерфейсы банковских приложений, осуществлять кейлоггинг и перехватывать навигацию по экрану.

Маскируясь под Google Chrome, вредонос побуждает пользователя включить службы доступности, после чего начинает накладывать фальшивые формы входа для 39 банков. Конфигурации поступают в формате JSON с C2-сервера, данные перехватываются через WebView и TYPE_ACCESSIBILITY_OVERLAY.

Для защиты от анализа применяются проверки на наличие эмуляторов и песочниц. C2-коммуникации строятся на доменах, созданных через алгоритм генерации, с резервом в зашифрованных «dom.txt» (DES/CBC с ключом «jp202411»). Шифрование полезной нагрузки реализовано через AES/ECB с ключом «0623U25KTT3YO8P9».

Для устойчивости используются широкие broadcast-интенты и блокировка окон удаления. Инфраструктура связана с Cloudflare, а в коде присутствуют фрагменты на китайском. Удаление возможно только через ADB-команды с удалением пакета com.example.mysoul. Активность трояна продолжается, и пользователям рекомендуется избегать сторонних APK, проверять разрешения и контролировать службы доступности.

ToxicPanda наглядно показывает, как одна уязвимость в привычке скачивать приложения из сторонних источников способна превратить смартфон в инструмент кражи, где граница между пользовательским доверием и полной потерей контроля исчезает сразу после тапа по «Разрешить».