Los investigadores de ciberseguridad han descubierto una traducción actualizada de un malware Android llamado Tgtóxico (todavía conocido como toxicpanda), lo que indica que los actores de amenaza detrás de ella están realizando continuamente cambios en respuesta a los informes públicos.
“Las modificaciones observadas en las cargas efectos TGTOXIC reflejan la vigilancia continua de los actores de la inteligencia de código despejado y demuestran su compromiso de mejorar las capacidades del malware para mejorar las medidas de seguridad y sostener a guión a los investigadores”, dijo Intel 471 en un mensaje publicado esta semana.
TGTOXIC fue documentado por primera vez por Trend Micro a principios de 2023, describiéndolo como un troyano bancario capaz de robar credenciales y fondos de billeteras criptográficas, así como aplicaciones bancarias y financieras. Se ha detectado en la naturaleza desde al menos julio de 2022, centrándose principalmente en usuarios móviles en Taiwán, Tailandia e Indonesia.
Luego, en noviembre de 2024, la firma de prevención de fraude en orientación italiana CLEAFY detalló una variación actualizada con características de monasterio de datos de amplio valor, al tiempo que amplía su valor operante para incluir Italia, Portugal, Hong Kong, España y Perú. Se evalúa el malware como el trabajo de un actor de amenaza de deje china.
El posterior disección de Intel 471 descubrió que el malware se distribuye a través de archivos APK dropper probablemente a través de mensajes SMS o sitios web de phishing. Sin secuestro, el mecanismo de entrega exacto sigue siendo desconocido.
Algunas de las mejoras notables incluyen capacidades de detección de emuladores mejoradas y actualizaciones del mecanismo de vivientes de URL de comando y control (C2), subrayando los esfuerzos continuos para evitar los esfuerzos de disección.
“El malware realiza una evaluación exhaustiva de las capacidades de hardware y sistema del dispositivo para detectar la porfía”, dijo Intel 471. “El malware examina un conjunto de propiedades del dispositivo que incluyen títulos de marca, maniquí, fabricante y huellas digitales para identificar discrepancias que son típicas de los sistemas emulados”.
Otro cambio significativo es el cambio de los dominios C2 codificados con código duro integrados interiormente de la configuración del malware al uso de foros como el Foro de desarrolladores de la comunidad Atlassian para crear perfiles falsos que incluyan una esclavitud cifrada que apunta al servidor C2 efectivo.
El TGToxic APK está diseñado para aspirar aleatoriamente una de las URL del foro comunitario proporcionadas en la configuración, que sirve como un resolución de caída muerta para el dominio C2.
La técnica ofrece varias ventajas, lo que sea que sea más casquivana para los actores de amenaza cambiar los servidores C2 simplemente actualizando el perfil de afortunado de la comunidad para señalar el nuevo dominio C2 sin tener que emitir ninguna puesta al día al malware en sí.
“Este método extiende considerablemente la vida útil operativa de las muestras de malware, manteniéndolas funcionales siempre que los perfiles de afortunado en estos foros permanezcan activos”, dijo Intel 471.
Las iteraciones posteriores de TGToxic descubridas en diciembre de 2024 van un paso más allá, dependiendo de un cálculo de vivientes de dominio (DGA) para crear nuevos nombres de dominio para su uso como servidores C2. Esto hace que el malware sea más resistente a los esfuerzos de interrupción, ya que el DGA se puede usar para crear varios nombres de dominio, lo que permite a los atacantes cambiar a un nuevo dominio incluso si algunos se eliminan.
“TGTOXIC se destaca como un troyano de banca Android en extremo sofisticado conveniente a sus técnicas avanzadas contra el disección, incluida la ofuscación, el enigmático de carga útil y los mecanismos antiemulación que evaden la detección por herramientas de seguridad”, dijo el CEO de Aprovelado, Ted Miracco, en un comunicado.
“Su uso de estrategias dinámicas de comando y control (C2), como los algoritmos de vivientes de dominio (DGA), y sus capacidades de automatización le permiten secuestrar interfaces de usuarios, robar credenciales y realizar transacciones no autorizadas con sigilo y resiliencia contra contramaces”.
Refrescar
A posteriori de la publicación de la historia, un portavoz de Google compartió la posterior enunciación con Hacker News –
Según nuestra detección contemporáneo, no se encuentran aplicaciones que contengan este malware en Google Play. Los usuarios de Android están protegidos automáticamente con versiones conocidas de este malware por Google Play Protectque está activado de forma predeterminada en dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o aislar aplicaciones que se sabe que exhiben un comportamiento sagaz, incluso cuando esas aplicaciones provienen de fuentes fuera del serie.
(La historia se actualizó luego de la publicación para incluir una respuesta de Google).
