Investigadores de ciberseguridad han descubierto una versión actualizada de un malware para Android llamado TgToxic (también conocido como ToxicPanda), lo que indica que los actores de amenazas detrás de él están realizando cambios continuamente en respuesta a los informes públicos.
«Las modificaciones observadas en las cargas útiles de TgToxic reflejan la vigilancia continua de los actores sobre la inteligencia de fuentes abiertas y demuestran su compromiso de mejorar las capacidades del malware para mejorar las medidas de seguridad y mantener a raya a los investigadores», dijo Intel 471 en un informe publicado esta semana.
TgToxic fue documentado por primera vez por Trend Micro a principios de 2023, describiéndolo como un troyano bancario capaz de robar credenciales y fondos de billeteras de criptomonedas, así como de aplicaciones bancarias y financieras. Se ha detectado en la red desde al menos julio de 2022, centrándose principalmente en usuarios de dispositivos móviles en Taiwán, Tailandia e Indonesia.
En noviembre de 2024, la empresa italiana de prevención de fraudes en línea Cleafy detalló una variante actualizada con amplias funciones de recopilación de datos, al tiempo que amplió su alcance operativo para incluir a Italia, Portugal, Hong Kong, España y Perú. Se estima que el malware es obra de un actor de amenazas de habla china.
El último análisis de Intel 471 ha descubierto que el malware se distribuye a través de archivos APK, probablemente a través de mensajes SMS o sitios web de phishing. Sin embargo, el mecanismo de distribución exacto sigue siendo desconocido.
Algunas de las mejoras notables incluyen capacidades mejoradas de detección del emulador y actualizaciones al mecanismo de generación de URL de comando y control (C2), lo que subraya los esfuerzos en curso para eludir los esfuerzos de análisis.
«El malware realiza una evaluación exhaustiva del hardware del dispositivo y de las capacidades del sistema para detectar la emulación», afirmó Intel 471. «El malware examina un conjunto de propiedades del dispositivo, como la marca, el modelo, el fabricante y los valores de las huellas dactilares, para identificar discrepancias típicas de los sistemas emulados».
Otro cambio significativo es el paso de dominios C2 codificados integrados en la configuración del malware al uso de foros como el foro de desarrolladores de la comunidad Atlassian para crear perfiles falsos que incluyen una cadena cifrada que apunta al servidor C2 real.
El APK de TgToxic está diseñado para seleccionar aleatoriamente una de las URL del foro de la comunidad proporcionadas en la configuración, que sirve como un solucionador de punto muerto para el dominio C2.
La técnica ofrece varias ventajas, la más importante de las cuales es que facilita que los actores de amenazas cambien los servidores C2 simplemente actualizando el perfil de usuario de la comunidad para apuntar al nuevo dominio C2 sin tener que emitir ninguna actualización al malware en sí.
«Este método extiende considerablemente la vida útil operativa de las muestras de malware, manteniéndolas funcionales mientras los perfiles de usuario en estos foros permanezcan activos», afirmó Intel 471.
Las iteraciones posteriores de TgToxic descubiertas en diciembre de 2024 van un paso más allá y se basan en un algoritmo de generación de dominios (DGA) para crear nuevos nombres de dominio para su uso como servidores C2. Esto hace que el malware sea más resistente a los intentos de interrupción, ya que el DGA se puede utilizar para crear varios nombres de dominio, lo que permite a los atacantes cambiar a un nuevo dominio incluso si algunos se eliminan.
«TgToxic se destaca como un troyano bancario para Android altamente sofisticado debido a sus técnicas avanzadas anti-análisis, incluyendo ofuscación, encriptación de carga útil y mecanismos anti-emulación que evaden la detección por parte de herramientas de seguridad», dijo el CEO de Approov, Ted Miracco, en un comunicado.
«Su uso de estrategias dinámicas de comando y control (C2), como algoritmos de generación de dominios (DGA), y sus capacidades de automatización le permiten secuestrar interfaces de usuario, robar credenciales y realizar transacciones no autorizadas con sigilo y resiliencia ante contramedidas».
Fuente y redacción: thehackernews.com
