Cybersecurity -onderzoekers hebben een bijgewerkte versie ontdekt van een Android -malware genaamd Tgtoxisch (AKA Toxicpanda), wat aangeeft dat de dreigingsactoren erachter voortdurend wijzigingen aanbrengen in reactie op openbare rapportage.
“De aanpassingen die worden gezien in de TGToxische ladingen weerspiegelen de voortdurende toezicht van de actoren van open source -inlichtingen en tonen hun toewijding aan om de mogelijkheden van de malware te verbeteren om beveiligingsmaatregelen te verbeteren en onderzoekers op afstand te houden,” zei Intel 471 in een rapport dat deze week werd gepubliceerd.
TGTOXIC werd begin 2023 voor het eerst gedocumenteerd door Trend Micro en beschreef het als een bankbekleding Trojan in staat om referenties en fondsen van crypto -portefeuilles en bank- en financiële apps te stelen. Het wordt sinds ten minste juli 2022 in het wild gedetecteerd, voornamelijk gericht op mobiele gebruikers in Taiwan, Thailand en Indonesië.
In november 2024 gedetailleerd Italiaans online fraude-preventiebedrijf Cleafy een bijgewerkte variant met brede functies voor het verzamelen van gegevens, terwijl hij ook zijn operationele reikwijdte uitbreidt met Italië, Portugal, Hong Kong, Spanje en Peru. De malware wordt beoordeeld als het werk van een Chinees sprekende dreigingsacteur.
De nieuwste analyse van Intel 471 heeft aangetoond dat de malware wordt gedistribueerd via DROPPER APK -bestanden waarschijnlijk via SMS -berichten of phishing -websites. Het exacte leveringsmechanisme blijft echter onbekend.
Enkele van de opmerkelijke verbeteringen omvatten verbeterde emulatiedetectiemogelijkheden en updates van het command-and-control (C2) URL-generatiemechanisme, wat voortdurende inspanningen onderstreept om analyse-inspanningen te omzeilen.
“De malware voert een grondige evaluatie van de hardware- en systeemmogelijkheden van het apparaat uit om emulatie te detecteren,” zei Intel 471. “De malware onderzoekt een reeks apparaateigenschappen, waaronder merk-, model-, fabrikant- en vingerafdrukwaarden om discrepanties te identificeren die typerend zijn voor emuleerde systemen.”
Een andere belangrijke verandering is de verschuiving van hard gecodeerde C2-domeinen ingebed in de configuratie van de malware naar het gebruik van forums zoals het Atlassian Community Developer Forum om nepprofielen te maken die een gecodeerde tekenreeks omvatten die naar de werkelijke C2-server wijst.
De TGTOXIC APK is ontworpen om willekeurig een van de Community Forum -URL’s in de configuratie te selecteren, die dient als een dode druppelresolver voor het C2 -domein.
De techniek biedt verschillende voordelen, het belangrijkste is dat het voor bedreigingsactoren gemakkelijker maakt om C2 -servers te wijzigen door eenvoudigweg het gebruikersprofiel van de community bij te werken om naar het nieuwe C2 -domein te wijzen zonder dat u updates voor de malware zelf hoeft te geven.
“Deze methode verlengt de operationele levensduur van malwaremonsters aanzienlijk, waardoor ze functioneel houden zolang de gebruikersprofielen op deze forums actief blijven,” zei Intel 471.
Daaropvolgende iteraties van tgtoxisch ontdekt in december 2024 gaan nog een stap verder, afhankelijk van een domeingeneratie -algoritme (DGA) om nieuwe domeinnamen te maken voor gebruik als C2 -servers. Dit maakt de malware veerkrachtiger om de inspanningen te verstoren, omdat de DGA kan worden gebruikt om verschillende domeinnamen te maken, waardoor de aanvallers kunnen overschakelen naar een nieuw domein, zelfs als sommige worden verwijderd.
“TGTOXIC valt op als een zeer geavanceerde Android Banking Trojan vanwege de geavanceerde anti-analysetechnieken, waaronder obfuscatie, payload-codering en anti-emulatiemechanismen die detectie ontwijken door beveiligingshulpmiddelen,” zei Approov Ceo Ted Miracco in een verklaring.
“Het gebruik van dynamische command-and-control (C2) strategieën, zoals domeingeneratie-algoritmen (DGA), en haar automatiseringsmogelijkheden stellen het in staat gebruikersinterfaces te kapen, referenties te stelen en ongeautoriseerde transacties uit te voeren met stealth en veerkracht tegen tegenmaatregelen.”
