29 juli 2025 15:19

ToxicPanda-malware steelt bankgegevens duizenden Android-gebruikers

De ToxicPanda-malware zou al duizenden Android-gebruikers hebben getroffen, met name in Portugal en Spanje. Opvallend genoeg is er weinig bekend over de wijze waarop de malware wordt verspreid.

Na infectie van een Android-telefoon proberen de hackers achter ToxicPanda zowel bank- als cryptogegevens te verzamelen. Dat melden onderzoekers van Bitsight, die de malware ontdekten en waarschuwen voor de gevolgen.

Zo werkt de ToxicPanda-malware

ToxicPanda maakt voor zijn aanvallen misbruik van de toegankelijkheidsmodus in Android, schrijven de onderzoekers. Die modus laat apps zogenoemde app-overlays toevoegen en stelt ze in staat de bediening van de Android-telefoon over te nemen. Hackers weten daar wel raad mee, blijkt wederom uit het rapport van Bitsight.

Om gebruikers om de tuin te leiden, doet de malware zich om te beginnen voor als Google Chrome. Gebruikers wordt gevraagd om deze ‘browser’ toegang te geven tot de toegankelijkheidsfuncties van Android. Zodra die toestemming is gegeven, begint de aanval pas echt: hackers plaatsen een overlay over bank- en cryptoapps om inloggegevens te onderscheppen.

Via de toegankelijkheidsmodus kunnen ze bovendien sms-berichten uitlezen om 2FA-codes (voor toegang tot bank- of cryptoapps) te onderscheppen. Wanneer het toestel vervolgens even niet wordt gebruikt, zetten de aanvallers die modus in om de telefoon te bedienen en geld over te schrijven via de bank- of cryptoapp naar rekeningnummers van kwaadwillenden.

Malafide Chrome-update — De ToxicPanda-malware doet zich voor als een Chrome-update – © Bitsight

Volledige controle over je Android-telefoon

Omdat de hackers volledige controle hebben over de telefoon, hoef je daar als gebruiker zelfs niets van te merken: ze kunnen bijvoorbeeld notificaties uitschakelen of sms’jes onderscheppen voordat jij ze ziet.

Opmerkelijk is dat de ToxicPanda-malware zichzelf bovendien beschermt tegen verwijdering. De app kan ook niet via het instellingenmenu worden verwijderd: dat wordt automatisch gesloten zodra de toegankelijkheidsmodus wordt geactiveerd. Verwijderen via Android Debug Bridge (ADB) is wel mogelijk, al is dat een vrij technisch proces.

Al ruim 4.500 toestellen geïnfecteerd

Tot nu toe zouden ruim 4.500 Android-toestellen zijn getroffen door de ToxicPanda-malware. Zo’n 3.000 daarvan bevinden zich in Portugal en Spanje, maar ook smartphones in Griekenland, Peru en Marokko zijn geïnfecteerd.

Hoe de malware precies wordt verspreid, is voor de onderzoekers nog onduidelijk. Mogelijk gaat het, zoals vaker, om malafide sms-berichten of advertenties op sociale media. In elk geval maken de aanvallers misbruik van de Chrome-merknaam. Wees dus zeker alert op verdachte Chrome-updates buiten de Play Store.

Uitgelicht artikel

Nieuwe Android-malware kan zich als vertrouwde kennis voordoen

Schrijf je in op onze nieuwsbrief en ontvang elke werkdag het beste uit de techwereld in je mailbox.

Android Beveiliging malware mobiel

Jeffrey van de Velde

Als gepassioneerd technologiejournalist duikt Jeffrey dagelijks met een kritische blik in het laatste nieuws over smartphones, telecommunicatie, hardware en elektrische fietsen. Hoe sneller de evoluties in de techwereld gaan, hoe beter, vindt hij.