Istraživači cyber sigurnosti otkrili su ažuriranu verziju Android malvera TgToxic (poznat i kao ToxicPanda), što ukazuje na to da hakerska grupa koja stoji iza njega kontinuirano prilagođava malver u odgovoru na javne izvještaje.
“Modifikacije u TgToxic payload-ima odražavaju kontinuirani nadzor hakera nad obavještajnim podacima iz otvorenih izvora i pokazuje njihovu posvećenost poboljšanju sposobnosti malvera kako bi zaobišli sigurnosne mjere i otežali rad istraživačima,” navodi se u izvještaju Intel 471 objavljenom ove sedmice.
Razvoj TgToxic malvera
Malver TgToxic je prvi put dokumentovala kompanija Trend Micro početkom 2023. godine, opisujući ga kao bankarski trojanac sposoban da krade kredencijale i sredstva iz kriptovaluta i bankarskih aplikacija. Prisutan je u napadima od najmanje jula 2022. godine, prvenstveno ciljajući mobilne korisnike u Tajvanu, Tajlandu i Indoneziji.
U novembru 2024., italijanska firma za prevenciju prevara Cleafy detaljno je analizirala ažuriranu varijantu koja sada uključuje širok spektar funkcija za prikupljanje podataka, proširujući ciljeve na Italiju, Portugal, Hong Kong, Španiju i Peru. Procjenjuje se da je malver djelo kineski govoreće hakerske grupe.
Najnovija analiza Intel 471 otkriva da se TgToxic distribuira putem dropper APK fajlova, vjerovatno putem SMS poruka ili fišing web stranica, iako tačan mehanizam isporuke ostaje nepoznat.
Napredne anti-analizne tehnike
Među ključnim poboljšanjima TgToxic-a su:
- Napredna detekcija emulacije – Malver sada detaljno analizira hardverske i sistemske karakteristike uređaja kako bi otkrio virtualne okruženja. Provjerava brend, model, proizvođača i druge sistemske vrijednosti kako bi identifikovao odstupanja tipična za emulatore.
- Promjena C2 mehanizma – Umjesto ranije ugrađenih C2 domena, malver sada koristi Atlassian developers community forum za kreiranje lažnih profila koji sadrže šifrovane reference na stvarni C2 server.
“TgToxic APK nasumično bira jedan od URL-ova sa foruma iz svoje konfiguracije, što služi kao ‘dead drop’ mehanizam za rješavanje C2 domena,” navodi Intel 471.
Ova tehnika omogućava hakerima da lako mijenjaju C2 servere, jednostavno ažurirajući korisnički profil na forumu, bez potrebe za ažuriranjem malvera.
“Ova metoda znatno produžava životni vijek malverskih uzoraka, omogućavajući im da ostanu funkcionalni sve dok su korisnički profili na forumima aktivni,” dodaje Intel 471.
DGA mehanizam za otpornost
U decembru 2024. otkrivene su dodatne nadogradnje, uključujući primjenu algoritma za generisanje domena (DGA). Ovaj mehanizam omogućava malveru da automatski kreira nove domene za C2 servere, čime postaje otporniji na gašenje postojećih domena.
“TgToxic se ističe kao visoko sofisticirani Android bankarski trojanac zbog svojih naprednih anti-analiznih tehnika, uključujući obfuskaciju, enkripciju payload-a i mehanizme protiv emulacije koji izbjegavaju detekciju sigurnosnih alata,” izjavio je Ted Miracco, direktor kompanije Approov.
Uz dinamičke C2 strategije i mogućnosti automatizacije, TgToxic može preoteti korisničke interfejse, ukrasti kredencijale i izvršiti neovlaštene transakcije, dok istovremeno ostaje otporan na sigurnosne mjere.
Izvor:The Hacker News