Investigadores en ciberseguridad han identificado una versión actualizada de un malware para Android denominado TgToxic (también conocido como ToxicPanda), lo que sugiere que los atacantes responsables están realizando modificaciones constantes en respuesta a los informes públicos.
“Las alteraciones observadas en las cargas útiles de TgToxic reflejan una vigilancia continua de los actores sobre la inteligencia de fuentes abiertas y evidencian su dedicación a mejorar las capacidades del malware para reforzar las medidas de seguridad y dificultar el trabajo de los investigadores”, indicó Intel 471 en un informe divulgado esta semana.
TgToxic fue documentado por primera vez por Trend Micro a principios de 2023 como un troyano bancario que tiene la capacidad de robar credenciales y fondos de billeteras de criptomonedas, además de acceder a aplicaciones bancarias y financieras. El malware ha estado presente en la red desde al menos julio de 2022, con un enfoque principal en usuarios móviles en Taiwán, Tailandia e Indonesia.
En noviembre de 2024, la empresa italiana de prevención de fraudes en línea Cleafy detalló una versión actualizada con nuevas funciones de recopilación de datos, ampliando su alcance operativo a Italia, Portugal, Hong Kong, España y Perú. Se cree que el malware es obra de un actor de amenazas de habla china.
El último análisis de Intel 471 ha revelado que el malware se distribuye mediante archivos APK, probablemente a través de mensajes SMS o sitios web de phishing. Sin embargo, el mecanismo exacto de distribución sigue siendo incierto.
Algunas de las mejoras significativas incluyen capacidades de detección de emuladores mejoradas y actualizaciones al mecanismo de generación de URL de comando y control (C2), lo que resalta los esfuerzos continuos para eludir el análisis.
“El malware realiza una evaluación exhaustiva del hardware y las capacidades del sistema del dispositivo para detectar emuladores”, señaló Intel 471. “Examina propiedades como la marca, el modelo, el fabricante y las huellas dactilares para identificar inconsistencias típicas de los sistemas emulados”.
Otro cambio relevante es el uso de foros como el foro de desarrolladores de Atlassian para crear perfiles falsos que incluyen una cadena cifrada apuntando al servidor C2 real, en lugar de los dominios C2 codificados en la configuración del malware.
El APK de TgToxic está diseñado para seleccionar aleatoriamente una de las URL de estos foros, funcionando como un solucionador de punto muerto para el dominio C2.
Esta técnica ofrece varias ventajas, siendo la principal que permite a los atacantes cambiar los servidores C2 actualizando el perfil de usuario en los foros sin necesidad de emitir una actualización al malware.
“Este método extiende considerablemente la vida útil operativa de las muestras de malware, manteniéndolas funcionales mientras los perfiles de usuario en estos foros permanezcan activos”, explicó Intel 471.
Las versiones posteriores de TgToxic, descubiertas en diciembre de 2024, llevan el malware un paso más allá, utilizando un algoritmo de generación de dominios (DGA) para crear nuevos nombres de dominio como servidores C2. Esto hace que el malware sea más resistente a los intentos de interrupción, ya que el DGA puede generar múltiples dominios, permitiendo a los atacantes cambiar de servidor incluso si algunos dominios son eliminados.
“TgToxic se destaca como un troyano bancario para Android muy sofisticado debido a sus técnicas avanzadas anti-análisis, que incluyen ofuscación, encriptación de carga útil y mecanismos anti-emulación que eluden la detección de herramientas de seguridad”, señaló el CEO de Approov, Ted Miracco, en un comunicado.
“El uso de estrategias dinámicas de comando y control (C2), como los algoritmos de generación de dominios (DGA), y sus capacidades de automatización le permiten secuestrar interfaces de usuario, robar credenciales y realizar transacciones no autorizadas con sigilo y resistencia ante contramedidas”.
Fuente: thehackernews.com
