Los investigadores de ciberseguridad han descubierto una versión actualizada de un malware Android llamado Tgtóxico (también conocido como toxicpanda), lo que indica que los actores de amenaza detrás de ella están realizando continuamente cambios en respuesta a los informes públicos.
«Las modificaciones observadas en las cargas útiles TGTOXIC reflejan la vigilancia continua de los actores de la inteligencia de código abierto y demuestran su compromiso de mejorar las capacidades del malware para mejorar las medidas de seguridad y mantener a raya a los investigadores», dijo Intel 471 en un informe publicado esta semana.
TGTOXIC fue documentado por primera vez por Trend Micro a principios de 2023, describiéndolo como un troyano bancario capaz de robar credenciales y fondos de billeteras criptográficas, así como aplicaciones bancarias y financieras. Se ha detectado en la naturaleza desde al menos julio de 2022, centrándose principalmente en usuarios móviles en Taiwán, Tailandia e Indonesia.
Luego, en noviembre de 2024, la firma de prevención de fraude en línea italiana CLEAFY detalló una variante actualizada con características de recolección de datos de amplio alcance, al tiempo que amplía su alcance operativo para incluir Italia, Portugal, Hong Kong, España y Perú. Se evalúa el malware como el trabajo de un actor de amenaza de habla china.
El último análisis de Intel 471 descubrió que el malware se distribuye a través de archivos APK dropper probablemente a través de mensajes SMS o sitios web de phishing. Sin embargo, el mecanismo de entrega exacto sigue siendo desconocido.
Algunas de las mejoras notables incluyen capacidades de detección de emuladores mejoradas y actualizaciones del mecanismo de generación de URL de comando y control (C2), subrayando los esfuerzos continuos para evitar los esfuerzos de análisis.
«El malware realiza una evaluación exhaustiva de las capacidades de hardware y sistema del dispositivo para detectar la emulación», dijo Intel 471. «El malware examina un conjunto de propiedades del dispositivo que incluyen valores de marca, modelo, fabricante y huellas digitales para identificar discrepancias que son típicas de los sistemas emulados».
Otro cambio significativo es el cambio de los dominios C2 codificados con código duro integrados dentro de la configuración del malware al uso de foros como el Foro de desarrolladores de la comunidad Atlassian para crear perfiles falsos que incluyan una cadena cifrada que apunta al servidor C2 real.
El TGToxic APK está diseñado para seleccionar aleatoriamente una de las URL del foro comunitario proporcionadas en la configuración, que sirve como un resolución de caída muerta para el dominio C2.
La técnica ofrece varias ventajas, lo que sea que sea más fácil para los actores de amenaza cambiar los servidores C2 simplemente actualizando el perfil de usuario de la comunidad para señalar el nuevo dominio C2 sin tener que emitir ninguna actualización al malware en sí.
«Este método extiende considerablemente la vida útil operativa de las muestras de malware, manteniéndolas funcionales siempre que los perfiles de usuario en estos foros permanezcan activos», dijo Intel 471.
Las iteraciones posteriores de TGToxic descubridas en diciembre de 2024 van un paso más allá, dependiendo de un algoritmo de generación de dominio (DGA) para crear nuevos nombres de dominio para su uso como servidores C2. Esto hace que el malware sea más resistente a los esfuerzos de interrupción, ya que el DGA se puede usar para crear varios nombres de dominio, lo que permite a los atacantes cambiar a un nuevo dominio incluso si algunos se eliminan.
«TGTOXIC se destaca como un troyano de banca Android altamente sofisticado debido a sus técnicas avanzadas contra el análisis, incluida la ofuscación, el cifrado de carga útil y los mecanismos antiemulación que evaden la detección por herramientas de seguridad», dijo el CEO de Aprovelado, Ted Miracco, en un comunicado.
«Su uso de estrategias dinámicas de comando y control (C2), como los algoritmos de generación de dominio (DGA), y sus capacidades de automatización le permiten secuestrar interfaces de usuarios, robar credenciales y realizar transacciones no autorizadas con sigilo y resiliencia contra contramaces».
Actualizar
Después de la publicación de la historia, un portavoz de Google compartió la siguiente declaración con Hacker News –
Según nuestra detección actual, no se encuentran aplicaciones que contengan este malware en Google Play. Los usuarios de Android están protegidos automáticamente con versiones conocidas de este malware por Google Play Protectque está activado de forma predeterminada en dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera del juego.
(La historia se actualizó después de la publicación para incluir una respuesta de Google).