Pesquisadores de cibersegurança descobriram uma versão atualizada de um malware para Android chamado TgToxic (também conhecido como ToxicPanda), indicando que os atores de ameaças por trás dele estão continuamente fazendo alterações em resposta às reportagens públicas.
"As modificações vistas nos payloads do TgToxic refletem a vigilância contínua dos atores sobre a inteligência de fontes abertas e demonstram seu compromisso em aprimorar as capacidades do malware para melhorar medidas de segurança e manter os pesquisadores distantes," disse a Intel 471 em um relatório publicado esta semana.
O TgToxic foi documentado pela primeira vez pela Trend Micro no início de 2023, descrevendo-o como um trojan bancário capaz de roubar credenciais e fundos de carteiras de criptomoedas, bem como de apps bancários e financeiros.
Ele foi detectado "na natureza" desde pelo menos julho de 2022, focando principalmente em usuários móveis em Taiwan, Tailândia e Indonésia.
Em novembro de 2024, a firma italiana de prevenção de fraudes online Cleafy detalhou uma variante atualizada com recursos abrangentes de coleta de dados, além de expandir seu escopo operacional para incluir Itália, Portugal, Hong Kong, Espanha e Peru.
O malware é avaliado como sendo obra de um ator de ameaça de língua chinesa.
A análise mais recente da Intel 471 descobriu que o malware é distribuído via arquivos APK dropper provavelmente por mensagens SMS ou sites de phishing.
No entanto, o exato mecanismo de entrega permanece desconhecido.
Algumas das melhorias notáveis incluem aprimoramentos na capacidade de detecção de emuladores e atualizações no mecanismo de geração de URL de comando e controle (C2), sublinhando os esforços contínuos para evitar análises.
"O malware realiza uma avaliação minuciosa das capacidades de hardware e sistema do dispositivo para detectar emulação," disse a Intel 471.
O malware examina um conjunto de propriedades do dispositivo incluindo marca, modelo, fabricante e valores de impressão digital para identificar discrepâncias típicas de sistemas emulados.
Uma mudança significativa é a transição de domínios C2 codificados diretamente embutidos na configuração do malware para usar fóruns como o fórum da comunidade de desenvolvedores da Atlassian para criar perfis falsos que incluem uma string criptografada apontando para o servidor C2 real.
O APK TgToxic é projetado para selecionar aleatoriamente um dos URLs do fórum da comunidade fornecidos na configuração, que serve como um resolvedor de dead drop para o domínio C2.
A técnica oferece várias vantagens, sendo a principal que facilita para os atores de ameaças alterar servidores C2 simplesmente atualizando o perfil do usuário na comunidade para apontar para o novo domínio C2 sem ter que emitir quaisquer atualizações para o malware em si.
"Este método estende consideravelmente a vida operacional de amostras de malware, mantendo-as funcionais enquanto os perfis de usuário nesses fóruns permanecerem ativos," disse a Intel 471.
Iterações subsequentes do TgToxic descobertas em dezembro de 2024 vão um passo além, confiando em um algoritmo de geração de domínio (DGA) para criar novos nomes de domínio para uso como servidores C2.
Isso torna o malware mais resiliente aos esforços de interrupção, pois o DGA pode ser usado para criar vários nomes de domínio, permitindo aos atacantes mudar para um novo domínio mesmo que alguns sejam desativados.
"TgToxic destaca-se como um trojan bancário Android altamente sofisticado devido às suas técnicas avançadas de anti-análise, incluindo ofuscação, criptografia de payload e mecanismos anti-emulação que evadem a detecção por ferramentas de segurança," disse o CEO da Approov, Ted Miracco, em uma declaração.
Seu uso de estratégias dinâmicas de comando e controle (C2), como algoritmos de geração de domínio (DGA), e suas capacidades de automação permitem que ele se aproprie de interfaces de usuário, roube credenciais e realize transações não autorizadas com discrição e resiliência contra contramedidas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...